xx市智慧城市云（公共服務(wù)云）平臺建設(shè)規(guī)劃

.06184網(wǎng)絡(luò)Mbps基礎(chǔ)數(shù)據(jù)3613.584034=SUM(LEFT)110.58視頻數(shù)據(jù)12541632=SUM(LEFT)114存儲T基礎(chǔ)數(shù)據(jù)32.6102=SUM(LEFT)17.6視頻數(shù)據(jù)31550=SUM(LEFT)23（三）基礎(chǔ)設(shè)施服務(wù)設(shè)計1．基礎(chǔ)設(shè)施服務(wù)是指各個企事業(yè)單位通過XX公共服務(wù)云平臺獲取計算資源、存儲資源、網(wǎng)絡(luò)資源等基礎(chǔ)設(shè)施支撐的服務(wù)。2．XX公共服務(wù)云平臺的建設(shè)和運行需要基于廣泛接入的互連互通網(wǎng)絡(luò)進(jìn)行。根據(jù)目前XX的發(fā)展現(xiàn)狀，圍繞區(qū)域和行業(yè)應(yīng)用發(fā)展的需要，采用能滿足XX公共服務(wù)云平臺部署智慧城市的智慧公交、智慧交通、智慧環(huán)保和智慧旅游所需的互連互通網(wǎng)絡(luò)，構(gòu)建網(wǎng)絡(luò)資源服務(wù)。3．XX公共服務(wù)云平臺整合軟硬件資源，進(jìn)行資源池化設(shè)計，通過XX公共服務(wù)云平臺為公共服務(wù)的企事業(yè)單位動態(tài)提供虛擬化的資源，這些資源包括虛擬機、存儲、負(fù)載均衡、虛擬網(wǎng)絡(luò)等。4．由智慧城市建設(shè)中智慧公交、智慧交通、智慧環(huán)保和智慧旅游的業(yè)務(wù)和系統(tǒng)需要，XX公共服務(wù)云平臺為其提供了所需的虛擬化計算資源、網(wǎng)絡(luò)資源和存儲資源，來滿足各個系統(tǒng)的正常運行。提供的資源列表為：項目虛擬機（臺）服務(wù)器TPMC值（TPM）智慧公交9個子系統(tǒng)數(shù)據(jù)庫252338應(yīng)用9117000智慧交通20個子系統(tǒng)數(shù)據(jù)庫461144應(yīng)用20152860智慧環(huán)保4個子系統(tǒng)數(shù)據(jù)庫118646應(yīng)用437292智慧旅游24個子系統(tǒng)數(shù)據(jù)庫583075應(yīng)用24199368合計：571804308需要物理服務(wù)器（臺）9注：1）所有操作系統(tǒng)按照0.7G內(nèi)存占用計算。2）一個數(shù)據(jù)庫系統(tǒng)可以正常支持5個系統(tǒng)的訪問。3）考慮CPU、內(nèi)存冗余為40%。XX公共服務(wù)云平臺為最終用戶提供虛擬化桌面終端服務(wù)，據(jù)統(tǒng)計，辦公電腦3—5年更換一次，按照5年更換周期計算，每年約20%的電腦被更換。則前期10%的辦公電腦替換為虛擬桌面，預(yù)留2年拓展的余量。即虛擬桌面終端數(shù)為：現(xiàn)有辦公電腦×10%（前期）+現(xiàn)有辦公電腦×20%×2（預(yù)留），具體數(shù)量見下表：系統(tǒng)名稱現(xiàn)有電腦數(shù)虛擬桌面數(shù)備注智慧公交210105全為辦公電腦智慧交通24072辦公電腦100，終端140智慧環(huán)保8643全為辦公電腦智慧旅游3015全為辦公電腦總計566235每個虛擬桌面母版映像和備份映像大小分別按照4G計算，共8G空間。每個虛擬桌面終端配置30G硬盤存儲用戶數(shù)據(jù)。為解決啟動風(fēng)暴問題，虛擬桌面的母版鏡像及備份鏡像存儲采用SSD硬盤存儲，用戶數(shù)據(jù)存儲采用SAS硬盤存儲。啟動風(fēng)暴由計算后臺存儲系統(tǒng)IOPS決定，通常運行Windows7的虛擬桌面在啟動時會產(chǎn)生50到100個IOPS，一旦運行平穩(wěn)，平均IOPS下降到5-10，啟動IOPS取80計算，運行IOPS取7計算。單個SSD硬盤可處理約5000個IOPS(SAS硬盤可處理的IOPS為180)，按照4000IOPS計算，單塊SSD硬盤支持同時啟動虛擬用戶數(shù)為4000÷80=50個。為避免啟動風(fēng)暴，滿足IOPS最小要求，則SSD硬盤需235÷50≈5塊。按照10個用戶使用一套母版計算，需要母版數(shù)量為235÷10≈24套。滿足存儲大小需求，SSD存儲大小為24×8G=192G，考慮到冗余與拓展需要，存儲為500G，采用raid1方式，總存儲需求為1T。綜合計算，需要10塊100G的SSD硬盤。如果虛擬服務(wù)器按照兩路8核服務(wù)器計算需要服務(wù)器臺數(shù)為235÷35≈7臺，SAS硬盤存儲235×30G=7.1T≈8T。虛擬桌面總要求如下列表：名稱數(shù)量啟動存儲(SSD存儲)1T數(shù)據(jù)存儲（主存儲）8T虛擬終端服務(wù)器7臺綜合上述，XX公共服務(wù)云平臺需要9臺服務(wù)器提供計算服務(wù)，需要7臺服務(wù)器提供虛擬桌面終端服務(wù)，另外用2臺服務(wù)器建設(shè)測試云服務(wù)，1臺服務(wù)器做存儲控制，總需要19臺服務(wù)器。云平臺服務(wù)器需要大量的數(shù)據(jù)進(jìn)行服務(wù)器間的交互，選擇高性能、高帶寬的網(wǎng)絡(luò)交換設(shè)備是必然選擇，也是對運行在其上的智慧公交、智慧交通、智慧環(huán)保和智慧旅游系統(tǒng)的重要保證。XX公共服務(wù)云平臺需至少采用2臺核心交換機支撐4個系統(tǒng)運行的云服務(wù)器之間網(wǎng)絡(luò)交換，多個支撐服務(wù)器的匯聚交換機，采用冗余1倍，約共4柜，防火墻、網(wǎng)關(guān)等安全設(shè)備共2柜。共8個網(wǎng)絡(luò)設(shè)備機柜。XX公共服務(wù)云平臺物理硬件設(shè)備匯總表。項目數(shù)量柜數(shù)面積(M2)耗能(KW)備注服務(wù)器臺數(shù)19臺4柜2.410服務(wù)器按照4U計算，一個機柜裝5臺，每臺按500W計算網(wǎng)絡(luò)設(shè)備32臺8柜4.832存儲設(shè)備41T2柜1.25按照100T建設(shè)UPS組件機柜和電池組1.2+4按120KW建設(shè)空調(diào)10按照25平方米1.5P實際耗能合計80包含30%冗余機房面積合計21113.6×6+13.6×6×1.5+7（四）云管理平臺的設(shè)計1) 直觀的配置與管理能夠輕松組織和快速部署整個IT環(huán)境，對包括CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)I/O等重要資源在內(nèi)的關(guān)鍵元件進(jìn)行全面的性能監(jiān)測，為管理員實施合理的資源規(guī)劃提供詳盡的數(shù)據(jù)資料。2) 智能化的資源自動優(yōu)化配置能夠為虛擬機中運行的應(yīng)用程序提供簡單易用、成本效益高的高可用性功能。硬件故障導(dǎo)致的服務(wù)器或虛擬機宕機再也不會造成災(zāi)難性的后果，資源智能調(diào)度能力會為這些服務(wù)器或虛擬機自動選擇最佳的重新運行位置。3) 支持IEEE802.1Qbg標(biāo)準(zhǔn)草案支持IEEE802.1Qbg協(xié)議標(biāo)準(zhǔn)草案，能夠?qū)崿F(xiàn)對虛擬機流量的全面監(jiān)控。4) 快速業(yè)務(wù)部署能力支持虛擬機的快速克隆功能，所有鏈接到主鏡像文件的虛擬桌面都可以通過更新主鏡像文件來修補或更新，而不會影響用戶的設(shè)置、數(shù)據(jù)或應(yīng)用程序，大幅簡化了桌面的管理，同時極大地減少存儲空間的浪費和縮短了部署虛擬桌面的時間。支持虛擬機系統(tǒng)的增量備份功能，僅備份上一次完全/增量備份后發(fā)生變化的文件，極大地減少了每次備份文件的數(shù)量和備份的時間，提高了備份效率。5) 自助式云業(yè)務(wù)電子流自助式服務(wù)管理為用戶提供了一個安全的、多租戶的、可自助服務(wù)的IaaS，是一種全新的基礎(chǔ)架構(gòu)交付和使用模式。能夠提供的虛擬化資源池功能，使IT部門能夠?qū)⒂嬎?、存儲和網(wǎng)絡(luò)等物理資源抽象成按需提供的彈性虛擬資源池，以消費單元（即組織或虛擬數(shù)據(jù)中心）的形式對外提供服務(wù)，IT部門能夠通過完全自動化的自助服務(wù)訪問，為用戶提供這些消費單元以及其它包括虛擬機和操作系統(tǒng)鏡像等在內(nèi)的基礎(chǔ)架構(gòu)和應(yīng)用服務(wù)模板。這種自助式的服務(wù)真正實現(xiàn)了云計算的敏捷性、可控性和高效性，并極大程度地提高了業(yè)務(wù)的響應(yīng)能力。6) 多租戶業(yè)務(wù)安全能夠通過用戶數(shù)據(jù)安全隔離與網(wǎng)絡(luò)安全策略模板，確保虛擬化、多租戶環(huán)境下的用戶隱私信息及數(shù)據(jù)的安全。虛擬化資源位置信息的唯一標(biāo)識，避免了虛擬化技術(shù)引起的物理邊界模糊可能導(dǎo)致的司法取證問題。通過用戶權(quán)限的精細(xì)化控制、管理帳號的分級管理以及詳細(xì)的操作訪問日志，避免權(quán)限濫用問題。（五）支撐軟件服務(wù)設(shè)計支撐軟件服務(wù)是指用戶可使用公共平臺上提供的操作系統(tǒng)、中間件、數(shù)據(jù)庫和開發(fā)工具等應(yīng)用支撐軟件，進(jìn)行業(yè)務(wù)應(yīng)用開發(fā)和部署的服務(wù)。1、虛擬桌面操作系統(tǒng)?？商峁┪④浵盗械腤in7、Win8、WinXP和Linux系列的紅旗、紅帽子、Debian、SuSE、ubantu等的桌面版。2、虛擬服務(wù)器操作系統(tǒng)。可提供Windows2008Server，或者Linux系列的紅帽子、Debian、SuSE、bantu服務(wù)器版。3、中間件。中間件屏蔽了底層操作系統(tǒng)的復(fù)雜性，使程序開發(fā)人員面對一個簡單而統(tǒng)一的開發(fā)環(huán)境，減少程序設(shè)計的復(fù)雜性，將注意力集中在自己的業(yè)務(wù)上，不必再為程序在不同系統(tǒng)軟件上的移植而重復(fù)工作，從而大大減少了技術(shù)上的負(fù)擔(dān)。中間件帶給應(yīng)用系統(tǒng)的不只是開發(fā)的簡便、開發(fā)周期的縮短，也減少了系統(tǒng)的維護(hù)、運行和管理的工作量，還減少了計算機總體費用的投入。Standish的調(diào)查報告顯示，由于采用了中間件技術(shù)，應(yīng)用系統(tǒng)的總建設(shè)費用可以減少50％左右。在網(wǎng)絡(luò)技術(shù)大發(fā)展的今天，從中間件獲得利益的不只是IT廠商，IT用戶同樣是贏家，并且是更有把握的贏家。中間件作為新層次的基礎(chǔ)軟件，其重要作用是將不同時期、在不同操作系統(tǒng)上開發(fā)應(yīng)用軟件集成起來，彼此像一個天衣無縫的整體協(xié)調(diào)工作，這是操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)本身做不了的。中間件的這一作用，使得在技術(shù)不斷發(fā)展之后，我們以往在應(yīng)用軟件上的勞動成果仍然物有所用，節(jié)約了大量的人力、財力投入。中間件的產(chǎn)品種類很多，根據(jù)中間件在系統(tǒng)中所起的作用和采用的技術(shù)不同，大致劃分為以下五種：1）數(shù)據(jù)庫中間件（DM，DatabaseMiddleware）。數(shù)據(jù)庫中間件在所有的中間件中是應(yīng)用最廣泛，技術(shù)最成熟的一種。一個最典型的例子就是ODBC，ODBC是一種基于數(shù)據(jù)庫的中間件標(biāo)準(zhǔn)，它允許應(yīng)用程序和本地或者異地的數(shù)據(jù)庫進(jìn)行通信，并提供了一系列的應(yīng)用程序接口API，當(dāng)然，在多數(shù)情況下這些API都是隱藏在開發(fā)工具中，不被程序員直接使用。有過實際編程經(jīng)驗的朋友都知道，在寫數(shù)據(jù)庫程序的時候，只要在ODBC中添加一個數(shù)據(jù)源，然后就可以直接在自己的應(yīng)用程序中使用這個數(shù)據(jù)源，而不用關(guān)系目標(biāo)數(shù)據(jù)庫的實現(xiàn)原理、實現(xiàn)機制，甚至不必了解ODBC向應(yīng)用程序提供了哪些應(yīng)用程序接口API。不過在數(shù)據(jù)庫中間件處理模型中，數(shù)據(jù)庫是信息存貯的核心單元，中間件完成通信的功能，這種方式雖然是靈活的，但是并不適合于一些要求高性能處理的場合，因為它需要大量的數(shù)據(jù)通信，而且當(dāng)網(wǎng)絡(luò)發(fā)生故障時，系統(tǒng)將不能正常工作。所謂有得必有失，就是這個道理，系統(tǒng)的靈活性提高是以處理性能的降低為代價的。2）遠(yuǎn)程過程調(diào)用中間件（RPC，RemoteProcedureCall）。遠(yuǎn)程過程調(diào)用是另外一種形式的中間件，它在客戶/服務(wù)器計算方面，比數(shù)據(jù)庫中間件又邁進(jìn)了一步。它已經(jīng)存在了相當(dāng)長的時間，而且沿用了大多數(shù)程序員都非常熟悉的編程模式－程序員就像調(diào)用本地過程一樣在程序中調(diào)用遠(yuǎn)程過程。啟動遠(yuǎn)程過程的運行，然后將運行結(jié)果返回給本地程序。不但如此，遠(yuǎn)過程調(diào)用還可以將程序的控制傳遞到遠(yuǎn)端的服務(wù)器當(dāng)中去。RPC的靈活特性使得它有比數(shù)據(jù)庫中間件更廣泛的應(yīng)用，它可以應(yīng)用在更復(fù)雜的客戶/服務(wù)器計算環(huán)境中。遠(yuǎn)過程調(diào)用的靈活性還體現(xiàn)在它的跨平臺性上面，它不僅可以調(diào)用遠(yuǎn)端的子程序，而且這種調(diào)用是可以跨不同操作系統(tǒng)平臺的，而程序員在編程時并不需要考慮這些細(xì)節(jié)。RPC也有一些缺點，主要是因為RPC一般用于應(yīng)用程序之間的通信，而且采用的是同步通信方式，因此對于比較小型的簡單應(yīng)用還是比較適合的，因為這些應(yīng)用通常不要求異步通信方式。但是對于一些大型的應(yīng)用，這種方式就不是很適合了，因為此時程序員需要考慮網(wǎng)絡(luò)或者系統(tǒng)故障，處理并發(fā)操作、緩沖、流量控制以及進(jìn)程同步等一系列復(fù)雜問題。3）面向消息中間件（MOM，MessageOrientedMiddleware）。消息中間件的優(yōu)點在于能夠在客戶和服務(wù)器之間提供同步和異步的連接，并且在任何時刻都可以將消息進(jìn)行傳送或者存儲轉(zhuǎn)發(fā)，這也是它比遠(yuǎn)程過程調(diào)用更進(jìn)一步的原因。另外消息中間件不會占用大量的網(wǎng)絡(luò)帶寬，可以跟蹤事務(wù)，并且通過將事務(wù)存儲到磁盤上實現(xiàn)網(wǎng)絡(luò)故障時系統(tǒng)的恢復(fù)。當(dāng)然和遠(yuǎn)程過程調(diào)用相比，消息中間件不支持程序控制的傳遞，不過這種功能和它的優(yōu)勢比起來卻是無關(guān)緊要的。消息中間件適用于需要在多個進(jìn)程之間進(jìn)行可靠的數(shù)據(jù)傳送的分布式環(huán)境。4）基于對象請求代理的中間件（ORB，ObjectRequestBroker）。對象請求代理是近年來才發(fā)展起來的一項新技術(shù)，它可以看作和編程語言無關(guān)的面向?qū)ο蟮腞PC應(yīng)用，被視為從面向?qū)ο筮^渡到分布式計算的強大推動力量。從管理和封裝的模式上看，對象請求代理和遠(yuǎn)過程調(diào)用有些累死，不過對象請求代理可以包含比遠(yuǎn)過程調(diào)用和消息中間件更復(fù)雜的信息，并且可以適用于非結(jié)構(gòu)化的或者非關(guān)系型的數(shù)據(jù)。目前有兩種對象請求代理的標(biāo)準(zhǔn)，分別是CORBA和DCOM，這兩種標(biāo)準(zhǔn)是相互競爭的，而且兩者之間有很大的區(qū)別，這在一定程度上阻礙了對象請求代理中間件的標(biāo)準(zhǔn)化進(jìn)程。5）事務(wù)處理中間件（TPM，TransactionProcessingMonitor）。事務(wù)處理中間件是一種復(fù)雜的中間件產(chǎn)品，是針對復(fù)雜環(huán)境下分布式應(yīng)用的速度和可靠性要求而實現(xiàn)的。它給程序員提供了一個事務(wù)處理的API，程序員可以使用這個程序接口編寫高速而且可靠的分布式應(yīng)用程序－基于事務(wù)處理的應(yīng)用程序。事務(wù)處理中間件向用戶提供一系列的服務(wù)，如應(yīng)用管理，管理控制，已經(jīng)應(yīng)用程序間的消息傳遞等。常見的功能包括全局事務(wù)協(xié)調(diào)、事務(wù)的分布式兩段提交、資源管理器支持、故障恢復(fù)、高可靠性、網(wǎng)絡(luò)負(fù)載平衡等等。4、數(shù)據(jù)庫軟件。根據(jù)需要可提供ORACLE、MSSQLServer、MYSQL等。對于新上的系統(tǒng)推薦使用MYSQL，節(jié)省投資，且性能優(yōu)良。5、應(yīng)用開發(fā)支撐軟件。對業(yè)務(wù)應(yīng)用開發(fā)，推薦提供JavaEE平臺開發(fā)框架中間件Struts2、Hibernate、Spring，以及其集成開發(fā)工具M(jìn)yEclipse。這樣選擇有如下好處：一是具有跨平臺優(yōu)勢，不需重新編譯，即可部署在各種異構(gòu)平臺上；二是這些框架都是開源的，版本始終在更新著，因此，能用上最新、最先進(jìn)的特征，而且能節(jié)省投資；三是通過使用這些中間件框架，使得應(yīng)用代碼維護(hù)變得簡單容易，易于跟上新業(yè)務(wù)的擴展；四是松耦合特征使單元測試變得簡單可行，有利于快速搭建新的應(yīng)用；五是可逐步打破微軟的壟斷。6、自動化管理平臺及自服務(wù)云門戶，實現(xiàn)基礎(chǔ)設(shè)施服務(wù)的自動化管理及自服務(wù)式的交付，從而大大提高云平臺效率和業(yè)務(wù)靈活性。云計算服務(wù)管理平臺可以涵蓋云計算服務(wù)提供所需的各個環(huán)節(jié)，通常包括：服務(wù)申請和流程管理；服務(wù)交付和回收，自動供應(yīng)平臺；資源使用統(tǒng)計；服務(wù)質(zhì)量監(jiān)控；其它的支撐服務(wù)，包括安全性等?；A(chǔ)設(shè)施服務(wù)應(yīng)實現(xiàn)自動化計費管理，以幫助云平臺運營機構(gòu)及最終用戶獲得準(zhǔn)確的成本測算、分析和報告，實現(xiàn)成本透明和責(zé)任落實，以便業(yè)務(wù)所有者和IT人員能夠了解支持業(yè)務(wù)服務(wù)所需的實際虛擬基礎(chǔ)架構(gòu)成本。云計算的計費管理主要實現(xiàn)如下功能：云計算成本的精確報告。云計算計費要考慮多個因素，包括硬件成本（CPU、內(nèi)存、存儲等）和其他成本，包括供電和冷卻。通過模型分析，計費模塊可以幫助IT人員精確了解整個虛擬化環(huán)境的成本構(gòu)成，從而可以實現(xiàn)對獨立業(yè)務(wù)部門或者整個公司進(jìn)行收費。可以定制的計費模型和度量計費模塊要可以定制模型和度量，方便IT人員根據(jù)自己的需求進(jìn)行合理的調(diào)張。支持分配計費、基于利用率計費和兩者混合計費；允許輸入計算結(jié)構(gòu)、基本成本模型、固定成本和多個費率設(shè)置，來滿足不同需求。當(dāng)然也應(yīng)該提供模板簡化這些操作；計費模塊要能自動生成詳細(xì)計費報表，可以發(fā)送給組織中的不同業(yè)務(wù)單位，讓每個付費的業(yè)務(wù)單位清晰了解他們使用的資源和相關(guān)費用。通過計費模塊，系統(tǒng)管理員可以將IT環(huán)境從費用中心轉(zhuǎn)變?yōu)樾б婊騼r值中心。（六）應(yīng)用功能服務(wù)設(shè)計應(yīng)用功能服務(wù)是指企事業(yè)部門和企業(yè)用戶（租戶）直接使用XX公共服務(wù)云平臺上提供的各種應(yīng)用服務(wù)軟件，快速實現(xiàn)業(yè)務(wù)應(yīng)用的服務(wù)。XX公共服務(wù)云平臺統(tǒng)一規(guī)劃、設(shè)計、開發(fā)和部署門戶網(wǎng)站系統(tǒng)、郵件系統(tǒng)、即時通訊、電子簽章系統(tǒng)、辦公系統(tǒng)等通用應(yīng)用服務(wù)軟件，供租戶按需調(diào)用。設(shè)計中應(yīng)考慮應(yīng)用功能服務(wù)的升級更新，保持接口一致性和應(yīng)用的高度可用性。設(shè)計應(yīng)用服務(wù)軟件的使用權(quán)限管理，使各租戶按照一定的授權(quán)進(jìn)行部署使用。應(yīng)構(gòu)建云應(yīng)用管理平臺，以實現(xiàn)以上應(yīng)用功能服務(wù)的自動化部署及交付，從而極大提高業(yè)務(wù)靈活性。在運營用管理平臺上，用戶可以借助可視化的藍(lán)圖進(jìn)行多層次的企業(yè)級應(yīng)用部署設(shè)計。典型應(yīng)用包含了Web層、應(yīng)用服務(wù)層和數(shù)據(jù)庫層等。在云應(yīng)用管理平臺上，可以創(chuàng)建和組裝一個應(yīng)用部署的拓?fù)浣Y(jié)構(gòu)，新建依賴屬性，編輯配置等。這個拓?fù)浣Y(jié)構(gòu)就是應(yīng)用設(shè)計藍(lán)圖。應(yīng)用設(shè)計藍(lán)圖提供了詳細(xì)的控制信息，從安裝依賴項、配置的改變到可編輯的腳本。云應(yīng)用管理平臺利用應(yīng)用設(shè)計藍(lán)圖產(chǎn)生部署執(zhí)行計劃。云應(yīng)用管理平臺可以提供基于瀏覽器訪問的拖拽式的圖形化使用和管理界面，應(yīng)用設(shè)計師和架構(gòu)師在界面中規(guī)劃出一個應(yīng)用設(shè)計藍(lán)圖，并且創(chuàng)建出一些列可以部署的應(yīng)用系統(tǒng)。云應(yīng)用管理平臺的資源來自于云資源管理門戶和基礎(chǔ)架構(gòu)平臺，其獲取到的是已劃分好的資源服務(wù)池，這個池內(nèi)包含了計算能力、存儲能力、網(wǎng)絡(luò)能力等。執(zhí)行應(yīng)用部署非常簡單，可以通過圖形界面去操作，也可以借助命令行或API的方式完成。在執(zhí)行部署的過程中，云應(yīng)用管理平臺能提供一個圖形化界面幫助用戶實時地查看應(yīng)用部署執(zhí)行的狀態(tài)、當(dāng)前正在執(zhí)行的階段、已經(jīng)執(zhí)行動作的狀態(tài)、內(nèi)容和執(zhí)行時間、已生成的虛擬機信息等。XX公共服務(wù)云平臺將采用面向服務(wù)的體系結(jié)構(gòu)（service-orientedarchitecture，SOA）提供應(yīng)用服務(wù)。SOA是一個組件模型，它將應(yīng)用程序的不同功能單元（稱為服務(wù)）通過這些服務(wù)之間定義良好的接口和契約聯(lián)系起來。接口是采用中立的方式進(jìn)行定義的，它獨立于實現(xiàn)服務(wù)的硬件平臺、操作系統(tǒng)和編程語言。這使得構(gòu)建在各種這樣的系統(tǒng)中的服務(wù)可以以一種統(tǒng)一和通用的方式進(jìn)行交互。SOA具有以下五個基本特征：1、可重用。一個服務(wù)創(chuàng)建后能用于多個應(yīng)用和業(yè)務(wù)流程；2、松耦合。服務(wù)請求者到服務(wù)提供者的綁定與服務(wù)之間應(yīng)該是松耦合的。因此，服務(wù)請求者不需要知道服務(wù)提供者實現(xiàn)的技術(shù)細(xì)節(jié)，例如程序語言、底層平臺等等；3、明確定義的接口。服務(wù)交互必須是明確定義的。Web服務(wù)描述語言（WebServicesDescriptionLanguage，WSDL）是用于描述服務(wù)請求者所要求的綁定到服務(wù)提供者的細(xì)節(jié)。WSDL不包括服務(wù)實現(xiàn)的任何技術(shù)細(xì)節(jié)。服務(wù)請求者不知道也不關(guān)心服務(wù)究竟是由哪種程序設(shè)計語言編寫的；4、無狀態(tài)的服務(wù)設(shè)計。服務(wù)應(yīng)該是獨立的、自包含的請求，在實現(xiàn)時它不需要獲取從一個請求到另一個請求的信息或狀態(tài)。服務(wù)不應(yīng)該依賴于其他服務(wù)的上下文和狀態(tài)。當(dāng)產(chǎn)生依賴時，它們可以定義成通用業(yè)務(wù)流程、函數(shù)和數(shù)據(jù)模型。5、基于開放標(biāo)準(zhǔn)。當(dāng)前SOA的實現(xiàn)形式是Web服務(wù)，基于的是公開的W3C及其他公認(rèn)標(biāo)準(zhǔn)。采用第一代Web服務(wù)定義的SOAP、WSDL和UDDI以及第二代Web服務(wù)定義的WS-*來實現(xiàn)SOA。面向服務(wù)體系架構(gòu)，也是一種理念。是圍繞服務(wù)對象（各戶或合作伙伴），通過構(gòu)建靈活的體系架構(gòu)，滿足服務(wù)對象需求的一種理念。對于業(yè)務(wù)系統(tǒng)的設(shè)計者來說，面向服務(wù)體系架構(gòu)最為重要的是讓他們更多的關(guān)注系統(tǒng)、部門、企業(yè)和組織之間的業(yè)務(wù)集成，能隨需地調(diào)整業(yè)務(wù)流程和綜合業(yè)務(wù)應(yīng)用；對于服務(wù)對象來說，SOA能更好地屏蔽后臺復(fù)雜的業(yè)務(wù)流程和業(yè)務(wù)處理?？傊?，SOA是一種頂層設(shè)計方法，使架構(gòu)設(shè)計師能更多地關(guān)注業(yè)務(wù)及業(yè)務(wù)之間的交互。（七）信息資源服務(wù)設(shè)計1、基礎(chǔ)平臺資源服務(wù)。XX公共服務(wù)云平臺能夠?qū)矐?yīng)用提供基礎(chǔ)資源服務(wù)，服務(wù)包含數(shù)據(jù)庫、中間件、地理信息服務(wù)等，采用統(tǒng)一行業(yè)標(biāo)準(zhǔn)接入，如數(shù)據(jù)接口無行業(yè)標(biāo)準(zhǔn)，則采用首次應(yīng)用自定義，后期應(yīng)用兼容原則。目前大型商業(yè)數(shù)據(jù)庫主要有Oracle、DB2、SQLServer等。其中Oracle在我市政府中的應(yīng)用最為廣泛，SQLServer也有一定的應(yīng)用份額。MySQL作為一種開源數(shù)據(jù)庫在有些小的應(yīng)用系統(tǒng)中也得到了部分應(yīng)用。當(dāng)前國際主流GIS軟件包括：ArcGIS、MapInfo、AutoCAD、Map3d、PrideMap、GeoMedia、MGE、SmallWorld、Grass、GeoServer、MapGuide等等。我市主要使用的有ArcGIS以及MapInfo。2、基礎(chǔ)數(shù)據(jù)資源服務(wù)。對于交通，環(huán)境等基礎(chǔ)信息，應(yīng)能提供共享接口，智慧交通應(yīng)用能夠獲取智慧環(huán)境的數(shù)據(jù)，智慧環(huán)境應(yīng)用能夠獲取智慧旅游的共享信息，信息共享采用統(tǒng)一接口標(biāo)準(zhǔn)，即開放式應(yīng)用程序接口(WebAPI)服務(wù)。（八）信息安全服務(wù)設(shè)計1、信息安全等級XX市公共服務(wù)云平臺，以需求和應(yīng)用為導(dǎo)向，通過信息技術(shù)的集成應(yīng)用構(gòu)建管理信息系統(tǒng)，建立與之相適應(yīng)的管理運行體制，達(dá)到精確、敏捷、高效、全時段監(jiān)控和全方位覆蓋的管理效果，采用科學(xué)完善的評價體系，真正建立管理長效機制，實現(xiàn)城市管理由被動管理型向主動服務(wù)型轉(zhuǎn)變，由粗放定性型向精細(xì)化定量型轉(zhuǎn)變，由單一封閉管理向多元開放互動管理轉(zhuǎn)變。系統(tǒng)實時性要求較高，為分鐘級。等級分析如下：智慧XX為國民經(jīng)濟和社會發(fā)展的重要管理部門，公共服務(wù)云平臺為其中的重要信息系統(tǒng)，其信息系統(tǒng)所屬類型賦值應(yīng)為2。XX市公共服務(wù)云平臺信息屬政府和社會專有信息，這些信息被破壞會對政府和公眾利益造成嚴(yán)重影響，其業(yè)務(wù)信息類型賦值為2。由表7.1知XX市公共服務(wù)云平臺的業(yè)務(wù)信息安全性等級為3級。業(yè)務(wù)信息類型賦值信息系統(tǒng)所屬類型賦值1（一般）2（重要）3（特別重要）1（一般）1222（嚴(yán)重）2333（特別嚴(yán)重）344表7.1、業(yè)務(wù)信息安全性等級矩陣表XX市公共服務(wù)云平臺為智慧XX管理提供技術(shù)支持，應(yīng)有范圍廣泛，其系統(tǒng)服務(wù)范圍賦值為2。XX市公共服務(wù)云平臺對完整性和實時性要求高，且無法采用手工作業(yè)替代，業(yè)務(wù)依賴性高，其業(yè)務(wù)依賴程度賦值應(yīng)為2。由表7.2知XX市公共服務(wù)云平臺的業(yè)務(wù)服務(wù)保證性取值為3。信息系統(tǒng)服務(wù)范圍賦值業(yè)務(wù)依賴程度賦值1（一般）2（高）3（非常高）1（一般）1232（廣泛）2343（非常廣泛）344表7.2、業(yè)務(wù)服務(wù)保證性取值矩陣表考慮到XX市公共服務(wù)云平臺關(guān)系城市管理的有序進(jìn)行，是城市重要的信息基礎(chǔ)設(shè)施，查表7.3知系統(tǒng)調(diào)節(jié)因子可選為1，調(diào)節(jié)后的系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為3級（表7.4）。信息系統(tǒng)服務(wù)的影響程度調(diào)節(jié)因子k信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會造成國家安全利益損失。1.0k0.8信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會造成較大范圍的公共利益損失。0.8k0.5信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會造成局部利益損失。0.5k0表7.3、調(diào)節(jié)因子取值表業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)服務(wù)保證性取值×k＝L業(yè)務(wù)服務(wù)保證性等級3L＜1.5132.4＞L1.5233.0L2.43表7.4、調(diào)節(jié)后的業(yè)務(wù)服務(wù)保證性等級最后，因XX市公共服務(wù)云平臺的業(yè)務(wù)信息安全性等級為3級，業(yè)務(wù)服務(wù)保證性等級為3級。所以，XX市公共服務(wù)云平臺的安全保護(hù)等級定為3級。2、安全目標(biāo)通過安全保護(hù)等級的分析，XX市公共服務(wù)云平臺的安全建設(shè)目標(biāo)是：對XX市公共服務(wù)云平臺進(jìn)行全方位的安全防范，確保其系統(tǒng)安全，同時保證系統(tǒng)的穩(wěn)定運行。具體包括：保護(hù)系統(tǒng)服務(wù)的連續(xù)性；保護(hù)網(wǎng)絡(luò)信息在存儲、處理、傳輸?shù)冗^程環(huán)節(jié)上的機密性、完整性；保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；防范入侵者的惡意攻擊與破壞；防范病毒的侵害；實現(xiàn)網(wǎng)絡(luò)的安全管理。3、安全技術(shù)要求XX市公共服務(wù)云平臺的安全保護(hù)等級為第三級，即安全標(biāo)記保護(hù)級。1）應(yīng)用系統(tǒng)安全技術(shù)第三級應(yīng)用系統(tǒng)安全技術(shù)功能要求如下：（1）身份鑒別。按GB/T20271-2006的要求，從以下方面實現(xiàn)應(yīng)用系統(tǒng)的身份鑒別功能：身份標(biāo)識：凡需進(jìn)入應(yīng)用系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識（建立賬號）；應(yīng)用系統(tǒng)的用戶標(biāo)識一般使用用戶名或用戶標(biāo)識符（UlD）；并在應(yīng)用系統(tǒng)的整個生存周期實現(xiàn)用戶的唯一性標(biāo)識，以及用戶名或別名、UID等之間的一致性；身份鑒別：采用強化管理的口令鑒別／數(shù)字證書鑒別等機制進(jìn)行身份鑒別，并在每次用戶登錄應(yīng)用系統(tǒng)時進(jìn)行鑒別；鑒別信息是不可見的，采用加密技術(shù)對鑒別信息進(jìn)行保護(hù)；對注冊到應(yīng)用系統(tǒng)中的用戶，通過用戶一主體綁定功能將用戶與為其服務(wù)的主體相關(guān)聯(lián)。（2）自主訪問控制。按GB/T20271-2006的要求，從以下方面實現(xiàn)應(yīng)用系統(tǒng)的自主訪問控制功能：允許命名用戶以用戶的身份規(guī)定控制對客體的共享，并阻止非授權(quán)用戶對客體的共享；用訪問控制表訪問控制確定主體對客體的訪問權(quán)限；自主訪問控制的粒度應(yīng)是中粒度；自主訪問控制應(yīng)與身份鑒別和審計相結(jié)合，通過確認(rèn)用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問，使用戶對自己的行為承擔(dān)明確的責(zé)任。（3）標(biāo)記。按GB/T20271-2006的要求，從以下方面實現(xiàn)應(yīng)用系統(tǒng)的標(biāo)記功能：應(yīng)用系統(tǒng)用戶的敏感標(biāo)記，在用戶建立注冊賬戶后由系統(tǒng)安全員為其設(shè)置標(biāo)記；應(yīng)用系統(tǒng)客體的敏感標(biāo)記，在數(shù)據(jù)輸入到安全控制范圍內(nèi)時以默認(rèn)方式或由安全員通過操作界面來生成標(biāo)記。（4）強制訪問控制。按GB/T20271-2006的要求，從以下方面實現(xiàn)應(yīng)用系統(tǒng)的強制訪問控制功能。強制訪問控制的范圍限定在所定義的主體與客體，并且，強制訪問控制的客體粒度應(yīng)是中粒度；將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計管理，分別由應(yīng)用系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員來承擔(dān)，按最小授權(quán)原則分別授予他們各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限，并形成相互制約的關(guān)系。（5）數(shù)據(jù)流控制。按GB/T20271-2006的要求，對于以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)交換應(yīng)用系統(tǒng)，實現(xiàn)應(yīng)用系統(tǒng)的數(shù)據(jù)流控制功能．（6）安全審計。按GB/T20271-2006的要求，從以下方面實現(xiàn)應(yīng)用系統(tǒng)的安全審計功能：安全審計功能的設(shè)計與用戶標(biāo)識與鑒別、自主訪問控制，標(biāo)記與強制訪問控制等安全功能的設(shè)計緊密結(jié)合；提供審計日志，實時報警生成，潛在侵害分析，基于異常檢測，基本審計查閱，有限審計查閱和可選審計查閱，安全審計事件選擇，以及受保護(hù)的審計蹤跡存儲和審計數(shù)據(jù)的可用性確保等功能；能夠生成、維護(hù)及保護(hù)審計過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計數(shù)據(jù)，要嚴(yán)格限制未經(jīng)授杈的用戶訪問；能夠創(chuàng)建并維護(hù)一個對受保護(hù)客體訪問的審計跟蹤，保護(hù)審計記錄不被未授權(quán)的訪問、修改和破壞；對網(wǎng)絡(luò)環(huán)境下運行的應(yīng)用系統(tǒng)，建立統(tǒng)一管理和控制的審計機制。（7）數(shù)據(jù)完整性。按GB/T20271-2006的要求，從以下方面實現(xiàn)應(yīng)用系統(tǒng)的數(shù)據(jù)完整性功能：在對服務(wù)進(jìn)行訪問操作時，檢查以字符串形式提交給應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)的完整性；對應(yīng)用系統(tǒng)內(nèi)部進(jìn)行的數(shù)據(jù)傳輸，如進(jìn)程間的通信，提供保證數(shù)據(jù)完整性的功能；對應(yīng)用系統(tǒng)中處理的用戶數(shù)據(jù)，按回退的要求設(shè)計相應(yīng)的安全功能，進(jìn)行異常情況的事務(wù)回退，以確保數(shù)據(jù)的完整性。（8）數(shù)據(jù)保密性。按GB/T20271-2006的要求，實現(xiàn)應(yīng)用系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能。計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴散。自主訪問控制機制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)，阻止非授權(quán)用戶讀取敏感信息。2）數(shù)據(jù)庫安全技術(shù)第三級數(shù)據(jù)庫安全技術(shù)功能要求如下：（1）身份鑒別。按GB/T20271-2006的要求，身份鑒別包括對用戶的身份進(jìn)行標(biāo)識和鑒別。從以下方面實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的身份鑒別功能：對進(jìn)入數(shù)據(jù)庫管理系統(tǒng)的用戶進(jìn)行身份標(biāo)識，按以下要求設(shè)計：凡需進(jìn)人數(shù)據(jù)庫管理系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識（建立賬號）；數(shù)據(jù)庫管理系統(tǒng)用戶標(biāo)識一般使用用戶名和用戶標(biāo)識符(UID)，并在數(shù)據(jù)庫管理系統(tǒng)的整個生存周期實現(xiàn)用戶的唯一性標(biāo)識，以及用戶名或別名、UID等之間的一致性。對登錄到數(shù)據(jù)庫管理系統(tǒng)的用戶身份的真實性進(jìn)行鑒別，按以下要求設(shè)計：采用強化管理的口令鑒別／數(shù)字證書鑒別等機制進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)時進(jìn)行鑒別；鑒別信息應(yīng)是不可見的，并在存儲和傳輸時用加密方法進(jìn)行安全保護(hù)；通過對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閥值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時應(yīng)采取的措施來實現(xiàn)鑒別失敗的處理。對注冊到數(shù)據(jù)庫管理系統(tǒng)的用戶，按以下要求實現(xiàn)用戶一主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)的要求者用戶。（2）自主訪問控制。按GB/T20271-2006的要求，從以下方面實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的自主訪問控制功能：允許命名用戶的身份規(guī)定并控制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問；用目錄表訪問控制、存取控制表訪問控制、能力表訪問控制等訪問控制表訪問控制確定主體對客體的訪問權(quán)限；自主訪問控制主體的粒度應(yīng)是用戶級，客體的粒度應(yīng)是表級和記錄、字段級；自主訪問控制應(yīng)與身份鑒別和審計相結(jié)合，通過確認(rèn)用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問，使用戶對自己的行為承擔(dān)明確的責(zé)任；限制授權(quán)傳播，要求對不可傳播的授權(quán)進(jìn)行明確定義提供支持，由系統(tǒng)自動檢查并限制這些授權(quán)的傳播。（3）標(biāo)記。按GB/T20271-2006的要求，從以下方面實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的標(biāo)記功能：數(shù)據(jù)庫用戶的敏感標(biāo)記，在用戶建立注冊賬戶后由系統(tǒng)安全員通過數(shù)據(jù)庫管理系統(tǒng)安全子系統(tǒng)所提供的安全員界面操作進(jìn)行標(biāo)記；數(shù)據(jù)庫客體的敏感標(biāo)記，在數(shù)據(jù)輸入到由數(shù)據(jù)庫管理系統(tǒng)安全子系統(tǒng)安全功能所控制的范圍內(nèi)時以默認(rèn)方式生成或由安全員通過操作界面進(jìn)行標(biāo)記。（4）強制訪問控制。按GB/T20271-2006的要求，從以下方面實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的強制訪問控制功能：將強制訪問控制的范圍限定在所定義的主體與客體，并且強制訪問控制主體的粒度應(yīng)是用戶級，客體的粒度應(yīng)是表級和／或記錄、字段級）；將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計管理，分別由數(shù)據(jù)庫系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員來承擔(dān)，按最小授權(quán)原則分別授予他們各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限，并形成相互制約的關(guān)系。（5）數(shù)據(jù)流控制。按GB/T20271-2006的要求，實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)流控制功能。（6）安全審計。按GB/T20271-2006的要求，從以下方面實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的安全審計功能：安全審計功能的設(shè)計與用戶標(biāo)識與鑒別、自主訪問控制、標(biāo)記與強制訪問控制等安全功能的設(shè)計緊密結(jié)合；提供審計日志、實時報警生成、潛在侵害分析、基于異常檢測、基本審計查閱、有限審計查閱和可選審計查閱，安全審計事件選擇，以及受保護(hù)的審計蹤跡存儲和審計數(shù)據(jù)的可用性確保等功能；能夠生成、維護(hù)及保護(hù)審計過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計數(shù)據(jù)，要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問；能夠創(chuàng)建并維護(hù)一個對受保護(hù)客體訪問的審計跟蹤，保護(hù)審計記錄不被未授權(quán)的訪問、修改和破壞；對網(wǎng)絡(luò)環(huán)境下運行的數(shù)據(jù)庫管理系統(tǒng)，建立統(tǒng)一管理和控制的審計機制。（7）用戶數(shù)據(jù)完整性。按GB/T20271-2006的要求，從以下方面實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的用戶數(shù)據(jù)完整性保護(hù)功能：在對數(shù)據(jù)進(jìn)行訪問操作時，檢查以庫結(jié)構(gòu)形式存儲在數(shù)據(jù)庫中的用戶數(shù)據(jù)是否出現(xiàn)完整性錯誤；對數(shù)據(jù)庫管理系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)，如進(jìn)程間的通信，提供保證數(shù)據(jù)完整性的功能；對數(shù)據(jù)庫管理系統(tǒng)中處理的用戶數(shù)據(jù)，按照GB/T20271-2006的要求實現(xiàn)實體完整性、參照完整性和用戶定義完整性，按回退的要求設(shè)計相應(yīng)的數(shù)據(jù)庫管理系統(tǒng)安全子系統(tǒng)安全功能模塊，進(jìn)行異常情況的事務(wù)回退，以確保數(shù)據(jù)的完整性。（8）用戶數(shù)據(jù)保密性。按GB/T20271-2006的要求，實現(xiàn)數(shù)據(jù)庫管理系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能。3）操作系統(tǒng)安全技術(shù)第三級操作系統(tǒng)安全技術(shù)功能要求如下：（1）身份鑒別。按GB／T20271-2006的要求，身份鑒別包括對用戶的身份進(jìn)行標(biāo)識和鑒別。從以下方面實現(xiàn)操作系統(tǒng)的身份鑒別功能：按GB/T20271-2006和以下要求實現(xiàn)用戶標(biāo)記功能：凡需進(jìn)入操作系統(tǒng)的用戶，先進(jìn)行標(biāo)識（建立賬號）；操作系統(tǒng)用戶標(biāo)識使用用戶名和用戶標(biāo)識(UID)，并在操作系統(tǒng)的整個生存周期實現(xiàn)用戶的唯一性標(biāo)識，以及用戶名或別名、UID等之間的一致性。按GB/T20271-2006和以下要求實現(xiàn)用戶鑒別功能：采用強化管理的口令鑒別/數(shù)字證書鑒別等機制進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)時進(jìn)行鑒別；鑒別信息應(yīng)是不可見的，在存儲和傳輸時按加密方法進(jìn)行安全保護(hù)；通過對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閥值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時應(yīng)采取的措施來實現(xiàn)鑒別失敗的處理。對注冊到操作系統(tǒng)的用戶，按以下要求實現(xiàn)用戶主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)的要求者用戶。（2）自主訪問控制。按GB/T202712006的要求，從以下方面實現(xiàn)操作系統(tǒng)的自主訪問控制功能：允許命名用戶以用戶的身份規(guī)定并控制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問。設(shè)置默認(rèn)功能，當(dāng)一個主體生成一個客體時，在該客體的訪問控制表中相應(yīng)地具有該主體的默認(rèn)值。有更細(xì)粒度的自主訪問控制，將訪問控制的粒度控制在單個用戶。對系統(tǒng)中的每一個客體，都能夠?qū)崿F(xiàn)由客體的創(chuàng)建者以用戶指定方式確定其對該客體的訪問權(quán)限，而別的同組用戶或非同組的用戶和用戶組對該客體的訪問權(quán)則由創(chuàng)建者用戶授予。自主訪問控制能與身份鑒別和審計相結(jié)合，通過確認(rèn)用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問，使用戶對自己的行為承擔(dān)明確的責(zé)任?？腕w的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對其擁有的客體應(yīng)具有全部控制權(quán)。但是，不允許客體擁有者把該客體的控制權(quán)分配給其他主體。定義訪問控制屬性，并保護(hù)這些屬性。主體的訪問控制屬性至少有：讀、寫、執(zhí)行等；客體的訪問控制屬性包含可分配給主體的讀、寫和執(zhí)行等權(quán)限。定義分配和修改主體和客體的訪問控制屬性的規(guī)則，并執(zhí)行對主體和客體的訪問控制屬性的分配和修改，規(guī)則的結(jié)果應(yīng)達(dá)到只有被授權(quán)的用戶才允許訪問一個客體。定義主體對客體的訪問授權(quán)規(guī)則。該規(guī)則應(yīng)基于主體對客體的訪問控制屬性，授權(quán)的范圍包括主體和客體及相關(guān)的訪問控制屬性，同時指出主體和客體對這些規(guī)則應(yīng)用的類型。（3）標(biāo)記。按GB/T20271-2006的要求，從以下方面實現(xiàn)操作系統(tǒng)的標(biāo)記功能：采用標(biāo)記的方法為操作系統(tǒng)安全子系統(tǒng)安全功能控制范圍內(nèi)的主體和客體設(shè)置敏感標(biāo)記。這些敏感標(biāo)記構(gòu)成多級安全模型的屬性庫。操作系統(tǒng)主、客體的敏感標(biāo)記應(yīng)以默認(rèn)方式生成或由安全員進(jìn)行建立、維護(hù)和管理。當(dāng)信息從操作系統(tǒng)安全子系統(tǒng)控制范圍之內(nèi)向操作系統(tǒng)安全子系統(tǒng)控制范圍之外輸出時，可帶有或不帶有敏感標(biāo)記；當(dāng)信息從操作系統(tǒng)安全子系統(tǒng)控制范圍之外向操作系統(tǒng)安全子系統(tǒng)控制范圍之內(nèi)輸入時，應(yīng)通過標(biāo)記標(biāo)明其敏感標(biāo)記。（4）強制訪問控制。按GB/T20271-2006的要求，從以下方面實現(xiàn)操作系統(tǒng)的強制訪問控制功能：由專門設(shè)置的系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強制訪問控制等安全機制有關(guān)的事件和信息，并將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計管理，分別由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員來承擔(dān)，按職能分割原則分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的權(quán)限，并形成相互制約關(guān)系；強制訪問控制應(yīng)與用戶身份鑒別、標(biāo)記等安全功能密切配合，使系統(tǒng)對用戶的安全控制包合從用戶進(jìn)入系統(tǒng)到退出系統(tǒng)的全過程，對客體的控制范圍涉及操作系統(tǒng)內(nèi)部的存儲、處理和傳輸過程；運行于網(wǎng)絡(luò)環(huán)境的多臺計算機系統(tǒng)上的網(wǎng)絡(luò)操作系統(tǒng)，在需要進(jìn)行統(tǒng)一管理時，考慮各臺計算機操作系統(tǒng)的主、客體安全屬性設(shè)置的一致性，并實現(xiàn)跨網(wǎng)絡(luò)的操作系統(tǒng)安全子系統(tǒng)間用戶數(shù)據(jù)保密性和完整性保護(hù)。（5）數(shù)據(jù)流控制。按GB/T20271-2006的要求，對于以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)交換的操作系統(tǒng)，實現(xiàn)操作系統(tǒng)的數(shù)據(jù)流控制功能。（6）安全審計。一般按GB/T20271-2006的要求，從以下方面實現(xiàn)操作系統(tǒng)的安全審計功能：安全審計功能應(yīng)與身份鑒別、自主訪問控制、標(biāo)記、強制訪問控制及完整性控制等安全功能緊密結(jié)合。提供審計日志、實時報警生成、潛在侵害分析、基于異常檢測、基本審計查閱、有限審計查閱和可選審計查閱，安全審計事件選擇，以及受保護(hù)的審計蹤跡存儲和審計數(shù)據(jù)的可用性確保等功能。能夠生成、維護(hù)及保護(hù)審計過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計數(shù)據(jù)，要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問。能夠創(chuàng)建并維護(hù)一個對受保護(hù)客體訪問的審計跟蹤，保護(hù)審計記錄不被未授權(quán)的訪問、修改和破壞。指出可記錄的審計事件的最少類型，包括建立會話登錄成功和失敗，使用的系統(tǒng)接口，系統(tǒng)數(shù)據(jù)庫管理的改變（改變用戶帳戶屬性、審計跟蹤設(shè)置和分析、為程序分配設(shè)置用戶ID、附加或改變系統(tǒng)程序或進(jìn)程、改變?nèi)掌诤蜁r間等），超級用戶命令改變用戶身份、將某個客體引入某個用戶的地址空問（如打開文什）、刪除客體及計算機操作員、系統(tǒng)管理員與系統(tǒng)安全管理員進(jìn)程的操作等。當(dāng)審計激活時應(yīng)確保審計跟蹤事件的完整性；應(yīng)提供一個機制來顯示當(dāng)前選擇的審計事件，這個機制的使用者應(yīng)是有限的授權(quán)用戶。每個事件的數(shù)據(jù)記錄，應(yīng)包括的信息有：事件發(fā)生的日期和時間、觸發(fā)事件的用戶、事件的類型、事件成功或失敗等。對于身份標(biāo)識和鑒別事件，應(yīng)記錄請求的源（如末端號或網(wǎng)絡(luò)地址）；對于創(chuàng)建和刪除客體的事件，應(yīng)記錄客體的名字和客體的安全屬性。應(yīng)提供一個受保護(hù)的打開和關(guān)閉審計的機制。該機制能選擇和改變審計事件，并在系統(tǒng)工作時處于默認(rèn)狀態(tài)；該機制的使用應(yīng)受到系統(tǒng)管理員的授權(quán)限制。系統(tǒng)管理員能夠選擇一個或多個基于身份鑒別或客體屬性的用戶的審計活動；審計工具應(yīng)能夠授權(quán)個人監(jiān)察和瀏覽審計數(shù)據(jù)。同時數(shù)據(jù)應(yīng)得到授權(quán)的使用、修改和刪除；應(yīng)提供對審計跟蹤管理功能的保護(hù)，使之可以完成審計跟蹤的創(chuàng)建、破壞、騰空和存檔；系統(tǒng)管理員應(yīng)能夠定義超過審計跟蹤極限的閥值；當(dāng)存儲空間被耗盡時，能按管理員的指定決定采取的措施，包括：報警并丟棄末記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。（7）用戶數(shù)據(jù)完整性。按GB/T202712006的要求，從以下方面實現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)完整性保護(hù)功能：應(yīng)為操作系統(tǒng)安全子系統(tǒng)安全功能控制范圍內(nèi)的主體和客體設(shè)置完整性標(biāo)簽(IL)，并建立完整性保護(hù)策略模型，保護(hù)用戶數(shù)據(jù)在存儲、傳輸和處理過程中的完整性。在對數(shù)據(jù)進(jìn)行訪問操作時，檢查存儲在存儲介質(zhì)上的用戶數(shù)據(jù)是否出現(xiàn)完整性錯誤，并在檢測到完整性錯誤時進(jìn)行恢復(fù)?？赏ㄟ^密碼支持系統(tǒng)所提供的完整性功能，對加密存儲的數(shù)據(jù)進(jìn)行完整性保護(hù)。操作系統(tǒng)對磁盤設(shè)備中存儲的數(shù)據(jù)，可通過增加磁盤掃描程序?qū)崿F(xiàn)以下功能：——自動檢查文件與磁盤表面是否完好；——將磁盤表面的問題自動記錄下來；——隨時檢查、診斷和修復(fù)磁盤上的錯誤；——修復(fù)扇區(qū)交錯和扇區(qū)流失；——將數(shù)據(jù)移到好的扇區(qū)；——可增加硬盤數(shù)據(jù)備份和修復(fù)程序，將硬盤中的數(shù)據(jù)壓縮、備份，并在必要時恢復(fù)。在操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)，如進(jìn)程間的通信，提供保征用戶數(shù)據(jù)完整性的功能，完整性標(biāo)簽應(yīng)隨數(shù)據(jù)一起流動，系統(tǒng)應(yīng)保證低完整性的數(shù)據(jù)不能插入、覆蓋到高完整性的數(shù)據(jù)。對操作系統(tǒng)中處理的數(shù)據(jù)，應(yīng)按回退的要求設(shè)計相應(yīng)的操作系統(tǒng)安全子系統(tǒng)安全功能模塊，進(jìn)行異常情況的操作序列回退，以確保用戶數(shù)據(jù)的完整性。系統(tǒng)應(yīng)保證在處理過程中不降低數(shù)據(jù)完整性的級別。（8）用戶數(shù)據(jù)保密性。按GB／T20271-2006的要求，從以下方面實現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能：確保動態(tài)分配與管理的資源，在保持信息安全的情況下被再利用，主要包括：確保非授權(quán)用戶不能查找使用后返還系統(tǒng)的記錄介質(zhì)中的信息內(nèi)容；確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容。在單用戶系統(tǒng)中，存儲器保護(hù)防止用戶進(jìn)程影響系統(tǒng)的運行。在多用戶系統(tǒng)中，存儲器保護(hù)保證系統(tǒng)內(nèi)各個用戶之間互不干擾。存儲器保護(hù)應(yīng)包括：對存儲單元的地址的保護(hù)，使非法用戶不能訪問那些受到保護(hù)的存儲單元；對被保護(hù)的存儲單元的操作提供各種類型的保護(hù)，最基本的保護(hù)類型是“讀/寫”和“只讀”，不能讀／寫的存儲單元，若被讀/寫時，系統(tǒng)應(yīng)及時發(fā)出警報或中斷程序執(zhí)行；可采用邏輯隔離的方法進(jìn)行存儲器保護(hù)，具體有：界限地址寄存器保護(hù)法、內(nèi)存標(biāo)志法、鎖保護(hù)法和特征位保護(hù)法等。4）服務(wù)器安全技術(shù)第三級服務(wù)器安全技術(shù)功能要求如下：（1）硬件系統(tǒng)①設(shè)備標(biāo)簽。按以下要求實現(xiàn)服務(wù)器設(shè)備標(biāo)簽的安全功能，并對標(biāo)簽采取保護(hù)措施（如加蓋公章）。設(shè)備標(biāo)簽：服務(wù)器設(shè)備提供在顯著位置設(shè)置標(biāo)簽（如編號、用途、負(fù)責(zé)人等）的功能，以方便查找和明確責(zé)任；部件標(biāo)簽：服務(wù)器關(guān)鍵部件（包括硬盤、主板、內(nèi)存、處理器、網(wǎng)卡等）在其上設(shè)置標(biāo)簽，以防止隨意更換或取走。②設(shè)備可靠運行支持。按基本運行支持、安全可用支持和不間斷運行支持的要求，實現(xiàn)服務(wù)器設(shè)備可靠運行支持的安全功能。服務(wù)器硬件最低配制滿足軟件系統(tǒng)運行的要求；關(guān)鍵部件與其標(biāo)記配合，保證其安全性，以防止更換和取走，機箱面板提供保護(hù)措施。不間斷運行要求滿足關(guān)鍵部件具有容錯、冗余和熱插拔等安全功能。支持熱插拔功能的部件包括：硬盤、風(fēng)扇、電源等；電源、硬盤采取冗余措施，內(nèi)存具有容錯功能，關(guān)鍵服務(wù)器采用雙機互備技術(shù)保證業(yè)務(wù)連續(xù)性要求。③設(shè)備工作狀態(tài)監(jiān)控。按要求實現(xiàn)服務(wù)器設(shè)備工作狀態(tài)監(jiān)控的安全功能。構(gòu)成服務(wù)器的關(guān)鍵部件，包括電源、風(fēng)扇、機箱、磁盤控制等具備可管理接口，通過該接口或其他措施收集硬件的運行狀態(tài)，如處理器工作溫度、風(fēng)扇轉(zhuǎn)速、系統(tǒng)核心電壓等，并對其進(jìn)行實時監(jiān)控，對監(jiān)測數(shù)值超過預(yù)先設(shè)定的故障閥值時，提供報警功能。④設(shè)備電磁防護(hù)。按要求實現(xiàn)服務(wù)器設(shè)備電磁防護(hù)功能，防止電磁信息泄漏，以及屏蔽外界電磁干擾。（2）運行安全①安全監(jiān)控主機安全監(jiān)控。主機安全監(jiān)控分為：提供服務(wù)器硬件、軟件運行狀態(tài)的遠(yuǎn)程監(jiān)控功能；對命令執(zhí)行、進(jìn)程調(diào)用、文件使用等進(jìn)行實時監(jiān)控，在必要時應(yīng)提供監(jiān)控數(shù)據(jù)分析功能。網(wǎng)絡(luò)安全監(jiān)控。服務(wù)器在其網(wǎng)絡(luò)接口部件處對進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實時監(jiān)控，網(wǎng)絡(luò)安全監(jiān)控分為：不依賴于服務(wù)器操作系統(tǒng)，且不因服務(wù)器出現(xiàn)非斷電異常情況而不可用；對進(jìn)出服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)流，按既定的安全策略和規(guī)則進(jìn)行檢測；支持用戶自定義網(wǎng)絡(luò)安全監(jiān)控的安全策略和規(guī)則；具有對網(wǎng)絡(luò)應(yīng)用行為分類監(jiān)控的功能，并根據(jù)安全策略提供報警和阻斷的能力；提供集中管理功能，以便接收網(wǎng)絡(luò)安全監(jiān)控集中管理平臺下發(fā)的安全策略和規(guī)則，以及向網(wǎng)絡(luò)安全監(jiān)控集中管理平臺提供審計數(shù)據(jù)源。②惡意代碼防護(hù)。惡意代碼防護(hù)分為：主機軟件防護(hù)：在服務(wù)器中設(shè)置防惡意代碼軟件，對所有進(jìn)入服務(wù)器的惡意代碼采取相應(yīng)的防范措施，防止惡意代碼侵襲；整體防護(hù)：主機軟件防護(hù)與防惡意代碼集中管理平臺協(xié)調(diào)一致，及時發(fā)現(xiàn)和清除進(jìn)入系統(tǒng)內(nèi)部的惡意代碼。③備份與故障恢復(fù)。為了實現(xiàn)服務(wù)器安全運行，需要在正常運行時定期地或按某種條件進(jìn)行適當(dāng)備份，并在發(fā)生故障時進(jìn)行相應(yīng)恢復(fù)的功能，服務(wù)器的備份與恢復(fù)功能分為：用戶自我信息備份與恢復(fù)：提供用戶有選擇地對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)中重要信息進(jìn)行備份的功能；當(dāng)由于某種原因引起系統(tǒng)故障時，能提供用戶按自我信息備份所保留的備份信息進(jìn)行恢復(fù)的功能；增量信息備份與恢復(fù)：提供定時對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)中新增信息進(jìn)行備份的功能；當(dāng)由于某種原因引起系統(tǒng)中的某些信息丟失或破壞時，提供用戶按增量信息備份所保留的信息進(jìn)行信息恢復(fù)的功能；局部系統(tǒng)備份與恢復(fù)：提供定期對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)中的某些重要的局部系統(tǒng)的運行狀態(tài)進(jìn)行備份的功能；當(dāng)由于某種原因引起系統(tǒng)某一局部發(fā)生故障時，提供用戶按局部系統(tǒng)備份所保留的運行狀態(tài)進(jìn)行局部系統(tǒng)恢復(fù)的功能；全系統(tǒng)備份與恢復(fù)：提供對重要的服務(wù)器的全系統(tǒng)運行狀態(tài)進(jìn)行備份的功能；當(dāng)由于某種原因引起服務(wù)器全系統(tǒng)發(fā)生故障時，對用戶按全系統(tǒng)備份所保留的運行狀態(tài)進(jìn)行全系統(tǒng)恢復(fù)提供支持；緊耦合集群結(jié)構(gòu)：對關(guān)鍵服務(wù)器采用多服務(wù)器緊耦合集群結(jié)構(gòu)，確保其中某一個服務(wù)器發(fā)生故障中斷運行時，業(yè)務(wù)應(yīng)用系統(tǒng)能在其余的服務(wù)器上不間斷運行；異地備份與恢復(fù)：對關(guān)鍵的服務(wù)器，根據(jù)業(yè)務(wù)連續(xù)性的不同要求，設(shè)置異地備份與恢復(fù)功能，確保服務(wù)器因災(zāi)難性故障中斷運行時，業(yè)務(wù)應(yīng)用系統(tǒng)能在要求的時間范圍內(nèi)恢復(fù)運行。關(guān)鍵業(yè)務(wù)數(shù)據(jù)的細(xì)顆粒度數(shù)據(jù)保護(hù)：對關(guān)鍵業(yè)務(wù)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，配置細(xì)顆粒度的連續(xù)數(shù)據(jù)保護(hù)技術(shù)，支持?jǐn)?shù)據(jù)快速回滾到任意時間點，確保服務(wù)器在邏輯錯誤（病毒、誤操作、軟件故障）中斷運行時，業(yè)務(wù)應(yīng)用系統(tǒng)能在快速以及最小數(shù)據(jù)損失恢復(fù)運行。5）網(wǎng)絡(luò)安全技術(shù)第三級網(wǎng)絡(luò)安全技術(shù)功能要求如下：（1）物理層。采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其遭受非授權(quán)的泄露或破壞。（2）鏈路層身份鑒別：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即鏈路層實體鑒別。具體要求見本級第一條身份鑒別安全功能要求。自主訪問控制：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級的自主訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行控制，允許合法操作，拒絕非法操作。具體要求見本級第二條自主訪問控制安全功能要求。標(biāo)記：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級的標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記。具體要求見本級第三條標(biāo)記安全功能要求。強制訪問控制：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級的強制訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行強制性控制，允許合法操作，拒絕非法操作。具體要求見本級第四條強制訪問控制安全功能要求。數(shù)據(jù)流控制：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級數(shù)據(jù)流控制功能，防止數(shù)據(jù)流的非法流動。具體要求見本級第五條數(shù)據(jù)流控制安全功能要求。用戶數(shù)據(jù)完整性：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)完整性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的完整性。具體要求見本級第六條用戶數(shù)據(jù)完整性安全功能要求。用戶數(shù)據(jù)保密性：按GB/T20271-2006的要求，實現(xiàn)鏈路層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)保密性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的保密性。具體要求見本級第七條用戶數(shù)據(jù)保密性安全功能要求。（3）網(wǎng)絡(luò)層身份鑒別：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即網(wǎng)絡(luò)級實體鑒別。具體要求見本級第一條身份鑒別安全功能要求。自主訪問控制：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的自主訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行控制，允許合法操作，拒絕非法操作。具體要求見本級第二條自主訪問控制安全功能要求。標(biāo)記：按GB/T202712006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記。具體要求見本級第三條標(biāo)記安全功能要求。強制訪問控制：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的強制訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行強制性控制，允許合法操作，拒絕非法操作。具體要求見本級第四條強制訪問控制安全功能要求。數(shù)據(jù)流控制：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的數(shù)據(jù)流控制功能，防止數(shù)據(jù)流的非法流動。具體要求見本級第五條數(shù)據(jù)流控制安全功能要求。安全審計：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的審計功能。安全審計應(yīng)提供可查性，要求對安全審計功能的設(shè)計應(yīng)與用戶標(biāo)識與鑒別、自主訪問控制、標(biāo)記、強制訪問控制、數(shù)據(jù)流控制、數(shù)據(jù)完整性等信息系統(tǒng)的所有安全功能的設(shè)計緊密結(jié)合，按安全審計功能設(shè)計的總要求和各安全功能技術(shù)要求中的具體安全審計要求來進(jìn)行。具體要求見本級第八條安全審計安全功能要求。用戶數(shù)據(jù)完整性：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)完整性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的完整性。具體要求見本級第六條用戶數(shù)據(jù)完整性安全功能要求。用戶數(shù)據(jù)保密性：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)保密性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的保密性。具體要求見本級第七條用戶數(shù)據(jù)保密性安全功能要求。抗抵賴：按GB/T20271-2006的要求，實現(xiàn)網(wǎng)絡(luò)層安全標(biāo)記保護(hù)級的抗抵賴功能。具體要求見本級第九條抗抵賴安全功能要求。（4）傳輸層身份鑒別：按GB/T202712006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的身份鑒別功能，在首次建立連接時，進(jìn)行（相互）身份鑒別。具體要求見本級第一條身份鑒別安全功能要求。自主訪問控制：按GB/T20271-2006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的自主訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行控制，允許合法操作，拒絕非法操作。具體要求見本級第二條自主訪問控制安全功能要求。標(biāo)記：按GB/T20271-2006標(biāo)記的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記。具體要求見本級第三條標(biāo)記安全功能要求。強制訪問控制：按GB/T20271-2006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的強制訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行強制性控制，允許合法操作，拒絕非法操作。具體要求見本級第四條強制訪問控制安全功能要求。數(shù)據(jù)流控制：按GB/T20271-2006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的數(shù)據(jù)流控制功能，防止數(shù)據(jù)流的非法流動。具體要求見本級第五條數(shù)據(jù)流控制安全功能要求。安全審計：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的審計功能。安全審計應(yīng)提供可查性，要求對安全審計功能的設(shè)計應(yīng)與用戶標(biāo)識與鑒別、自主訪問控制、標(biāo)記、強制訪問控制、數(shù)據(jù)流控制、數(shù)據(jù)完整性等信息系統(tǒng)的所有安全功能的設(shè)計緊密結(jié)合，按安全審計功能設(shè)計的總要求和各安全功能技術(shù)要求中的具體安全審計要求來進(jìn)行。具體要求見本級第八條安全審計安全功能要求。用戶數(shù)據(jù)完整性：按GB/T20271-2006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)完整性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的完整性。具體要求見本級第六條用戶數(shù)據(jù)完整性安全功能要求。用戶數(shù)據(jù)保密性：按GB/T20271-2006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)保密性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的保密性。具體要求見本級第七條用戶數(shù)據(jù)保密性安全功能要求?？沟仲嚕喊碐B/T20271-2006的要求，實現(xiàn)傳輸層安全標(biāo)記保護(hù)級的抗抵賴功能。具體要求見本級第九條抗抵賴安全功能要求。（5）會話層身份鑒別：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的身份鑒別功能，確保用戶身份的唯一性和真實性。具體要求見本級第一條身份鑒別安全功能要求。自主訪問控制：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的自主訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行控制，允許合法操作，拒絕非法操作。具體要求見本級第二條自主訪問控制安全功能要求。標(biāo)記：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記。具體要求見本級第三條標(biāo)記安全功能要求。強制訪問控制：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的強制訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行強制性控制，允許合法操作，拒絕非法操作。具體要求見本級第四條強制訪問控制安全功能要求。數(shù)據(jù)流控制：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的數(shù)據(jù)流控制功能，防止數(shù)據(jù)流的非法流動。具體要求見本級第五條數(shù)據(jù)流控制安全功能要求。安全審計：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的審計功能。安全審計應(yīng)提供可查性，要求對安全審計功能的設(shè)計應(yīng)與用戶標(biāo)識與鑒別、自主訪問控制、標(biāo)記、強制訪問控制、數(shù)據(jù)流控制、數(shù)據(jù)完整性等信息系統(tǒng)的所有安全功能的設(shè)計緊密結(jié)合，按安全審計功能設(shè)計的總要求和各安全功能技術(shù)要求中的具體安全審計要求來進(jìn)行。具體要求見本級第八條安全審計安全功能要求。用戶數(shù)據(jù)完整性：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)完整性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的完整性。具體要求見本級第六條用戶數(shù)據(jù)完整性安全功能要求。用戶數(shù)據(jù)保密性：按GB/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)保密性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的保密性。具體要求見本級第七條用戶數(shù)據(jù)保密性安全功能要求?？沟仲嚕喊碐B/T20271-2006的要求，實現(xiàn)會話層安全標(biāo)記保護(hù)級的抗抵賴功能。具體要求見本級第九條抗抵賴安全功能要求。網(wǎng)絡(luò)安全監(jiān)控：按GB/T20271-2006的要求，按安全探測機制和安全監(jiān)控中心的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的網(wǎng)絡(luò)安全監(jiān)控功能。（6）表示層身份鑒別：按GB/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的身份鑒別功能，確保用戶身份的唯一性和真實性。具體要求見本級第一條身份鑒別安全功能要求。自主訪問控制：按GB/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的自主訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行控制，允許合法操作，拒絕非法操作。具體要求見本級第二條自主訪問控制安全功能要求。標(biāo)記：按GB/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記。具體要求見本級第三條標(biāo)記安全功能要求。強制訪問控制：按GB/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的強制訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行強制性控制，允許合法操作，拒絕非法操作。具體要求見本級第四條強制訪問控制安全功能要求。數(shù)據(jù)流控制：按GB/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的數(shù)據(jù)流控制功能，防止數(shù)據(jù)流的非法流動。具體要求見本級第五條數(shù)據(jù)流控制安全功能要求。安全審計：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的審計功能。安全審計應(yīng)提供可查性，要求對安全審計功能的設(shè)計應(yīng)與用戶標(biāo)識與鑒別、自主訪問控制、標(biāo)記、強制訪問控制、數(shù)據(jù)流控制、數(shù)據(jù)完整性等信息系統(tǒng)的所有安全功能的設(shè)計緊密結(jié)合，按安全審計功能設(shè)計的總要求和各安全功能技術(shù)要求中的具體安全審計要求來進(jìn)行。具體要求見本級第八條安全審計安全功能要求。用戶數(shù)據(jù)完整性：按GB/T202712006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)完整性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的完整性。具體要求見本級第六條用戶數(shù)據(jù)完整性安全功能要求。用戶數(shù)據(jù)保密性：按GB/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)保密性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的保密性。具體要求見本級第七條用戶數(shù)據(jù)保密性安全功能要求?？沟仲嚕喊碐B/T20271-2006的要求，實現(xiàn)表示層安全標(biāo)記保護(hù)級的抗抵賴功能。具體要求見本級第九條抗抵賴安全功能要求。網(wǎng)絡(luò)安全監(jiān)控：按GB/T20271-2006的要求，按安全探測機制和安全監(jiān)控中心的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的網(wǎng)絡(luò)安全監(jiān)控功能。（7）應(yīng)用層身份鑒別：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的身份鑒別功能，確保用戶身份的唯一性和真實性。具體要求見本級第一條身份鑒別安全功能要求。自主訪問控制：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的自主訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行控制，允許合法操作，拒絕非法操作。具體要求見本級第二條自主訪問控制安全功能要求。標(biāo)記：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記。具體要求見本級第三條標(biāo)記安全功能要求。強制訪問控制：按GB/T202712006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的強制訪問控制功能，對來自網(wǎng)絡(luò)外部的訪問進(jìn)行強制性控制，允許合法操作，拒絕非法操作。具體要求見本級第四條強制訪問控制安全功能要求。數(shù)據(jù)流控制：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的數(shù)據(jù)流控制功能，防止數(shù)據(jù)流的非法流動。具體要求見本級第五條數(shù)據(jù)流控制安全功能要求。安全審計：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的審計功能。安全審計應(yīng)提供可查性，要求對安全審計功能的設(shè)計應(yīng)與用戶標(biāo)識與鑒別、自主訪問控制、標(biāo)記、強制訪問控制、數(shù)據(jù)流控制、數(shù)據(jù)完整性等信息系統(tǒng)的所有安全功能的設(shè)計緊密結(jié)合，按安全審計功能設(shè)計的總要求和各安全功能技術(shù)要求中的具體安全審計要求來進(jìn)行。具體要求見本級第八條安全審計安全功能要求。用戶數(shù)據(jù)完整性：按GB/T202712006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)完整性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的完整性。具體要求見本級第六條用戶數(shù)據(jù)完整性安全功能要求。用戶數(shù)據(jù)保密性：按GB/T202712006的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的用戶數(shù)據(jù)保密性保護(hù)功能，保護(hù)存儲、傳輸和處理數(shù)據(jù)的保密性。具體要求見本級第七條用戶數(shù)據(jù)保密性安全功能要求。抗抵賴：按GB/T20271-2006的要求，實現(xiàn)應(yīng)用層安全標(biāo)證保護(hù)級的抗抵賴功能。具體要求見本級第九條抗抵賴安全功能要求。網(wǎng)絡(luò)安全監(jiān)控：按GB/T20271-2006的要求，按安全探測機制和安全監(jiān)控中心的要求，實現(xiàn)應(yīng)用層安全標(biāo)記保護(hù)級的網(wǎng)絡(luò)安全監(jiān)控功能。第一條身份鑒別安全功能要求。用戶標(biāo)識。按基本標(biāo)識、唯一性標(biāo)識和標(biāo)識信息管理的要求，實現(xiàn)用戶標(biāo)識功能，并按要求實現(xiàn)用戶一主體綁定。一般以用戶名和用戶標(biāo)識符(UID)來標(biāo)識一個用戶，確保在一個信息系統(tǒng)中用戶名和用戶標(biāo)識符的唯一性。這種唯一性應(yīng)在信息系統(tǒng)的整個生存周期內(nèi)都有效，即使一個用戶的帳號已被刪除，他的用戶標(biāo)識也不能再使用，并由此確保用戶的唯一性和可區(qū)別性。用戶標(biāo)識應(yīng)與安全審計相關(guān)聯(lián)，以提供可查性。用戶鑒別。本安全保護(hù)等級要求：按基本鑒別、不可偽造鑒別、一次性使用鑒別和鑒別信息管理的要求，在每次用戶登錄系統(tǒng)時進(jìn)行鑒別；鑒別信息應(yīng)是不可見的，并在存儲和傳輸時按密碼支持的要求進(jìn)行保護(hù)；對跨網(wǎng)絡(luò)的遠(yuǎn)程用戶，當(dāng)用于身份鑒別的信息在網(wǎng)上傳輸時按密碼支持的要求進(jìn)行保護(hù)；按要求實現(xiàn)鑒別失敗處理功能。第二條自主訪問控制安全功能要求。本安全等級要求：確定自主訪問控制策略；實現(xiàn)自主訪問控制功能；按子集訪問控制的要求，確定自主訪問控制的范圍；按中粒度訪問控制的要求，確定自主訪問控制的粒度；無論采用何種訪問控制策略所實現(xiàn)的自主訪問控制功能，都能夠允許命名用戶以用戶的身份規(guī)定并控制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問。第三條標(biāo)記安全功能要求。本安全等級要求：實現(xiàn)主體標(biāo)記功能；實現(xiàn)客體標(biāo)記功能；按不帶標(biāo)記的用戶數(shù)據(jù)輸出和帶有標(biāo)記的用戶數(shù)據(jù)輸出的要求，實現(xiàn)標(biāo)記輸出功能；按不帶標(biāo)記的用戶數(shù)據(jù)輸入的要求，實現(xiàn)標(biāo)記輸入功能。第四條強制訪問控制安全功能要求。本安全等級要求：確定強制訪問控制安全策略模型；實現(xiàn)強制訪問控制功能；按子集訪問控制的要求，確定強制訪問控制的范圍；按中粒度的要求，確定強制訪問控制粒度；實現(xiàn)適合相應(yīng)環(huán)境的強制訪問控制。第五條數(shù)據(jù)流控制安全功能要求。對以數(shù)據(jù)流方式進(jìn)行數(shù)據(jù)交換的信息系統(tǒng)，采用數(shù)據(jù)流控制機制實現(xiàn)對數(shù)據(jù)流動的安全控制，以防止具有高等級安全的數(shù)據(jù)信息向低等級的區(qū)域流動，實現(xiàn)數(shù)據(jù)流控制功能。第六條用戶數(shù)據(jù)完整性安全功能要求。本安全等級要求：按完整性檢測和恢復(fù)的要求，采用自主完整性策略，實現(xiàn)相應(yīng)的信息系統(tǒng)安全子系統(tǒng)安全功能模塊，對存儲在信息系統(tǒng)安全子系統(tǒng)安全控制范圍內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)。本安全保護(hù)等級要求在讀取的時候檢測存儲在信息系統(tǒng)安全子系統(tǒng)控制范圍之內(nèi)的用戶數(shù)據(jù)是否出現(xiàn)完整性錯誤，并在檢測到完整性錯誤時采取必要的恢復(fù)措施，還要求通過密碼支持，對加密存儲的數(shù)據(jù)進(jìn)行存儲數(shù)據(jù)的完整性檢驗。按完整性檢測和數(shù)據(jù)交換恢復(fù)的要求，設(shè)計和實現(xiàn)相應(yīng)的信息系統(tǒng)安全子系統(tǒng)安全功能模塊，對經(jīng)過網(wǎng)絡(luò)在兩個信息系統(tǒng)安全子系統(tǒng)間傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行完整性保護(hù)。本安全保護(hù)等級要求信息系統(tǒng)安全子系統(tǒng)能檢測出被傳輸?shù)挠脩魯?shù)據(jù)被篡改、刪除、插入等情況發(fā)生，并在檢測到完整性錯誤時采取必要的恢復(fù)措施，還要求通過密碼支持，對加密傳輸?shù)臄?shù)據(jù)進(jìn)行傳輸數(shù)據(jù)的完整性檢驗。按回退的要求，實現(xiàn)相應(yīng)的信息系統(tǒng)安全子系統(tǒng)安全功能模塊，通過在各種異常情況的操作序列的回退，確保處理數(shù)據(jù)的完整性。第七條用戶數(shù)據(jù)保密性安全功能要求。本安全等級要求：按所配置的密碼支持或其他相應(yīng)的安全機制，對需要進(jìn)行存儲保密性保護(hù)的用戶數(shù)據(jù)，采用存儲加密或其他有效措施，實現(xiàn)用戶數(shù)據(jù)存儲保密性保護(hù)功能；按所配置的密碼支持或其他響應(yīng)的安全機制，對需要進(jìn)行傳輸保密性保護(hù)的用戶數(shù)據(jù)，采用傳輸加密或其他有效措施，實現(xiàn)用戶數(shù)據(jù)傳輸保密性保護(hù)功能；按子集信息保護(hù)的要求，實現(xiàn)客體安全重用功能。第八條安全審計安全功能要求。本安全保護(hù)等級要求：按審計日志和實時報警生成的要求，實現(xiàn)審計響應(yīng)功能；實現(xiàn)產(chǎn)生審計數(shù)據(jù)功能；按潛在侵害分析和基于異常檢測的描述的要求，實現(xiàn)審計分析功能；按基本審計查閱、有限審計查閱和可選審計查閱的要求，實現(xiàn)安全審計查閱功能；實現(xiàn)審計事件選擇功能；按受保護(hù)的審計蹤跡存儲和審計數(shù)據(jù)的可用性確保的要求，實現(xiàn)保存審計事件功能；實現(xiàn)網(wǎng)絡(luò)環(huán)境安全審計與評估功能。第九條抗抵賴安全功能要求。本安全等級要求：對數(shù)據(jù)的發(fā)送方，按信息系統(tǒng)安全子系統(tǒng)安全功能應(yīng)具有按主體請求對傳輸?shù)臄?shù)據(jù)產(chǎn)生原發(fā)證據(jù)的能力，即信息系統(tǒng)安全子系統(tǒng)安全功能在接到接收者的請求時，能就傳輸?shù)臄?shù)據(jù)產(chǎn)生原發(fā)證據(jù)，證明該數(shù)據(jù)的發(fā)送由該原發(fā)者所為，實現(xiàn)抗原發(fā)抵賴功能；對數(shù)據(jù)的接收方，按信息系統(tǒng)安全子系統(tǒng)安全功能應(yīng)具有按主體請求對傳輸?shù)臄?shù)據(jù)產(chǎn)生接收證據(jù)的能力，即信息系統(tǒng)安全子系統(tǒng)安全功能在接到原發(fā)者的請求時，能就傳輸?shù)臄?shù)據(jù)產(chǎn)生接收證據(jù)，證明該數(shù)據(jù)的接收由該接收者所為，實現(xiàn)抗接收抵賴功能。6）終端安全技術(shù)第三級終端安全技術(shù)功能要求如下：（1）物理系統(tǒng)①設(shè)備安全可用。應(yīng)按基本運行支持和基本安全可用的要求，設(shè)計和實現(xiàn)終端計算機系統(tǒng)設(shè)備安全可用的功能。②設(shè)備防盜防毀。應(yīng)按設(shè)備標(biāo)記要求、設(shè)備實體安全與防盜的要求，設(shè)計和實現(xiàn)終端計算機系統(tǒng)的設(shè)備防盜防毀的功能。（2）操作系統(tǒng)應(yīng)按GB/T20272-2006中的要求，從以下方面來設(shè)計、實現(xiàn)或選購安全標(biāo)記保護(hù)級終端計算機系統(tǒng)所需要的操作系統(tǒng)：a)身份鑒別：根據(jù)GB/T20272-2006中的描述，實現(xiàn)操作系統(tǒng)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶一主體綁定的功能；b)自主訪問控制：根據(jù)GB/T202722006中的描述，對操作系統(tǒng)的訪問進(jìn)行控制，允許合法操作，不允許非法操作；c)標(biāo)記：根據(jù)GB/T20272-2006中的描述，設(shè)計和實現(xiàn)操作系統(tǒng)標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記；d)強制訪問控制：根據(jù)GB/T20272-2006中的描述，對操作系統(tǒng)的訪問進(jìn)行控制，允許合法操作，不允許非法操作；應(yīng)對操作系統(tǒng)實現(xiàn)包括系統(tǒng)文件、服務(wù)、驅(qū)動、注冊表及進(jìn)程在內(nèi)的強制訪問控制功能；e)數(shù)據(jù)流控制：對于以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)交換的操作系統(tǒng)，根據(jù)GB/T20272-2006中的描述，設(shè)計和實現(xiàn)操作系統(tǒng)的數(shù)據(jù)流控制功能；f)安全審計：根據(jù)GB/T20272-2006中的描述，提供搡作系統(tǒng)安全審計功能；g)用戶數(shù)據(jù)保密性：根據(jù)GB/T20272-2006中的描述，設(shè)計和實現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能；h)用戶數(shù)據(jù)完整性：根據(jù)GB/T20272-2006中的描述，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。（3）可信計算平臺①密碼支持。應(yīng)按以下要求，設(shè)計與實現(xiàn)安全標(biāo)記級終端計算機系統(tǒng)密碼支持功能：a)密碼算法：應(yīng)使用國家密碼管理部門批準(zhǔn)的密碼算法，應(yīng)采用硬件實現(xiàn)密碼算法；b)密碼操作：密鑰生成、數(shù)字簽名與驗證等關(guān)鍵密碼操作應(yīng)基于密碼硬件支持；c)密鑰管理：所有密鑰應(yīng)受存儲根保護(hù)，存儲根本身應(yīng)由安全硬件保護(hù)。②信任鏈。應(yīng)按描述及以下要求，設(shè)計和實現(xiàn)終端計算機系統(tǒng)的信任鏈功能：a)應(yīng)基于可信硬件模塊實現(xiàn)靜態(tài)信任鏈和動態(tài)信任鏈的建立；b)靜態(tài)信任鏈中操作系統(tǒng)(OS)的完整性度量基準(zhǔn)值應(yīng)由國家專門機構(gòu)管理，支持離線校驗，基準(zhǔn)值應(yīng)存儲在受存儲根保護(hù)的區(qū)域中，若度量值與基準(zhǔn)值不一致，應(yīng)停止操作系統(tǒng)啟動；c)根據(jù)要求設(shè)計和實現(xiàn)信任鏈模塊開級和信任鏈模塊實時修復(fù)功能。③運行時防護(hù)。應(yīng)按運行時防護(hù)的要求，設(shè)計和實現(xiàn)如下功能：a)惡意代碼防護(hù)：根據(jù)描述，實現(xiàn)外來介質(zhì)使用控制、特征碼掃描、基于CPU的數(shù)據(jù)執(zhí)行保護(hù)的功能；b)網(wǎng)絡(luò)攻擊防護(hù)：根據(jù)描述，實現(xiàn)IP過濾、網(wǎng)絡(luò)協(xié)議分析、應(yīng)用程序監(jiān)控、內(nèi)容過濾的防火墻功能。實現(xiàn)實時阻斷、文件監(jiān)控、注冊表監(jiān)控的入侵檢測功能；c)網(wǎng)絡(luò)接入控制：應(yīng)按要求，實現(xiàn)網(wǎng)絡(luò)接入控制功能。④系統(tǒng)安全性檢測分析。應(yīng)按終端計算機操作系統(tǒng)安全性檢測分析、硬件系統(tǒng)安全性檢測分析、應(yīng)用程序安全性檢測分析和電磁泄漏發(fā)射檢測分析的要求，運用有關(guān)工具，檢測所選用或開發(fā)的操作系統(tǒng)、硬件系統(tǒng)、應(yīng)用程序的安全性和電磁泄漏，并通過對檢測結(jié)果的分析，按安全標(biāo)記保護(hù)級的要求，對存在的安全問題加以改進(jìn)。⑤信任服務(wù)。應(yīng)根據(jù)描述及以下要求，設(shè)計與實現(xiàn)可信計算平臺的安全標(biāo)記保護(hù)級信任服務(wù)功能：a)應(yīng)在可信硬件模塊中專門設(shè)置受保護(hù)區(qū)域存儲所有靜態(tài)信任鏈的完整性度量值；b)應(yīng)設(shè)置一個可信硬件模塊保護(hù)的區(qū)域來存儲所有動態(tài)信任鏈的完整性度量值；c)必要時應(yīng)向國家專門機構(gòu)報告操作系統(tǒng)完整性度量值。⑥身份標(biāo)識與鑒別。系統(tǒng)身份標(biāo)識與鑒別。應(yīng)按要求，從以下方面實現(xiàn)系統(tǒng)的身份標(biāo)識與鑒別功能a)應(yīng)按要求，設(shè)計與實現(xiàn)終端計算機系統(tǒng)的唯一性標(biāo)識、標(biāo)識可信性、隱秘性和標(biāo)識信息管理功能，確保終端計算機系統(tǒng)可信計算平臺的身份唯一性和真實性；b)應(yīng)按要求，設(shè)計與實現(xiàn)系統(tǒng)身份鑒別功能。用戶身份標(biāo)識與鑒別。應(yīng)按要求，從以下方面設(shè)計和實現(xiàn)用戶身份標(biāo)識與鑒別功能：a)應(yīng)按要求，設(shè)計與實現(xiàn)用戶的基本標(biāo)識、唯一性標(biāo)識與標(biāo)識信息管理功能；b)應(yīng)按要求，設(shè)計與實現(xiàn)用戶的基本鑒別和一次性使用鑒別；