信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

Informationsecuritytechnology-Basissecuritytechniquesrequirementsfornetwork

自2006T2T起執(zhí)行

目次

前a

引言

1范圍

2規(guī)范性引用文件

3術(shù)語(yǔ)、定義與縮略語(yǔ)

3.1術(shù)語(yǔ)與定義

3.2縮略語(yǔ)

4網(wǎng)絡(luò)安全構(gòu)成與相互關(guān)系

5網(wǎng)絡(luò)安全功能基本要求

5.1身份鑒別

5.1.1用戶標(biāo)識(shí)

5.1.2用戶鑒別

5.1.3用戶一主體綁定

5.1.4鑒別失敗處理

5.2自主訪問(wèn)操縱

5.2.1訪問(wèn)操縱策略

5.2.2訪問(wèn)操縱功能

5.2.3訪問(wèn)操縱范圍

5.2.4訪問(wèn)操縱粒度

5.3標(biāo)記

5.3.1主體標(biāo)記

5.3.2客體標(biāo)記

5.3.3標(biāo)記完整性

5.3.4有標(biāo)記信息的輸出

5.4強(qiáng)制訪問(wèn)操縱

5.4.1訪問(wèn)操縱策略

5.4.2訪問(wèn)操縱功能

5.4.3訪問(wèn)操縱范圍

5.4.4訪問(wèn)操縱粒度

5.4.5訪問(wèn)操縱環(huán)境

5.5數(shù)據(jù)流操縱

5.6安全審計(jì)

5.6.1安全審計(jì)的響應(yīng)

5.6.2安全審計(jì)數(shù)據(jù)產(chǎn)生

5.6.3安全審計(jì)分析

5.6.4安全審計(jì)查閱

5.6.5安全審計(jì)事件選擇

5.6.6安全審計(jì)事件存儲(chǔ)

5.7用戶數(shù)據(jù)完整性

5.7.1存儲(chǔ)數(shù)據(jù)的完整性

5.7.2傳輸數(shù)據(jù)的完整性

5.7.3處理數(shù)據(jù)的完整性

5.8用戶數(shù)據(jù)保密性

5.8.1存儲(chǔ)數(shù)據(jù)的保密性

5.8.2傳輸數(shù)據(jù)的保密性

5.8.3客體安全重用

5.9可信路徑

5.10抗抵賴(lài)

5.10.1抗原發(fā)抵賴(lài)

5.10.2抗接收抵賴(lài)

5.11網(wǎng)絡(luò)安全監(jiān)控

6網(wǎng)絡(luò)安全功能分層分級(jí)要求

6.1身份鑒別功能

6.2自主訪問(wèn)操縱功能

6.3標(biāo)記功能

6.4強(qiáng)制訪問(wèn)操縱功能

6.5數(shù)據(jù)流操縱功能

6.6安全審計(jì)功能

6.7用戶數(shù)據(jù)完整性保護(hù)功能

6.8用戶數(shù)據(jù)保密性保護(hù)功能

6.9可信路徑功能

6.10抗抵賴(lài)功能

6.11網(wǎng)絡(luò)安全監(jiān)控功能

7網(wǎng)絡(luò)安全技術(shù)分級(jí)要求

7.1第一級(jí)：用戶自主保護(hù)級(jí)

7.1.1第一級(jí)安全功能要求

7.1.2第一級(jí)安全保證要求

7.2第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)

7.2.1第二級(jí)安全功能要求

7.2.2第二級(jí)安全保證要求

7.3第三級(jí)：安全標(biāo)記保護(hù)級(jí)

7.3.1第三級(jí)安全功能要求

7.3.2第三級(jí)安全保證要求

7.4第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)

7.4.1第四級(jí)安全功能要求

7.4.2第四級(jí)安全保證要求

7.5第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)

7.5.1第五級(jí)安全功能要求

7.5.2第五級(jí)安全保證要求

附錄A(資料性附錄)標(biāo)準(zhǔn)概念說(shuō)明

A.1構(gòu)成與相互關(guān)系

A.2關(guān)于網(wǎng)絡(luò)各層協(xié)議要緊功能的說(shuō)明

A.3關(guān)于安全保護(hù)等級(jí)劃分

A.4關(guān)于主體與客體

A.5關(guān)于SSON、SSF、SSP、SFP及其相互關(guān)系

A.6關(guān)于數(shù)據(jù)流操縱

A.7關(guān)于密碼技術(shù)

A.8關(guān)于安全網(wǎng)絡(luò)的建議

參考文獻(xiàn)

前言

本標(biāo)準(zhǔn)的附錄A是資料性附錄.

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本標(biāo)準(zhǔn)起草單位：北京思源新創(chuàng)信息安全資訊有限公司，江南計(jì)算技術(shù)研究所技術(shù)服務(wù)

中心。

本標(biāo)準(zhǔn)要緊起草人：吉增瑞、劉廣明、王志強(qiáng)、陳冠直、景乾元、宋健平。

引言

本標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)與實(shí)現(xiàn)具有所需要的安全保護(hù)等級(jí)的網(wǎng)絡(luò)系統(tǒng),要緊說(shuō)

明為實(shí)現(xiàn)GB17859—1999中每一個(gè)安全保護(hù)等級(jí)的安全要求，網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)

措施，與各安全技術(shù)要求在不一致安全保護(hù)等級(jí)中的具體差異。

網(wǎng)絡(luò)是一個(gè)具有復(fù)雜結(jié)構(gòu)、由許多網(wǎng)絡(luò)設(shè)備構(gòu)成的系統(tǒng)，不一致的網(wǎng)絡(luò)環(huán)境又會(huì)有不一

致的系統(tǒng)結(jié)構(gòu)。然而，從網(wǎng)絡(luò)系統(tǒng)所實(shí)現(xiàn)的功能來(lái)看，能夠概括為“實(shí)現(xiàn)網(wǎng)上信息交換”。

網(wǎng)上信息交換具體能夠分解為信息的發(fā)送、信息的傳輸與信息的接收。從信息安全的角度，

網(wǎng)絡(luò)信息安全能夠概括為“保障網(wǎng)上信息交換的安全”，具體表現(xiàn)為信息發(fā)送的安全、信息

傳輸?shù)陌踩c信息接收的安全，與網(wǎng)上信息交換的抗抵賴(lài)等。網(wǎng)上信息交換是通過(guò)確定的網(wǎng)

絡(luò)協(xié)議實(shí)現(xiàn)的，不一致的網(wǎng)絡(luò)會(huì)有不一致的協(xié)議。任何網(wǎng)絡(luò)設(shè)備都是為實(shí)現(xiàn)確定的網(wǎng)絡(luò)協(xié)議

而設(shè)置的。典型的、具有代表性的網(wǎng)絡(luò)協(xié)議是國(guó)際標(biāo)準(zhǔn)化組織的開(kāi)放系統(tǒng)互連協(xié)議

(ISO/OSI),也稱(chēng)七層協(xié)議。盡管很少有完全按照七層協(xié)議構(gòu)建的網(wǎng)絡(luò)系統(tǒng)，但是七層協(xié)議

的理論價(jià)值與指導(dǎo)作用是任何網(wǎng)絡(luò)協(xié)議所不可替代的。網(wǎng)絡(luò)安全需要通過(guò)協(xié)議安全來(lái)實(shí)現(xiàn)。

通過(guò)對(duì)七層協(xié)議每一層安全的描述，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)安全的完整描述。網(wǎng)絡(luò)協(xié)議的安全需要

由構(gòu)成網(wǎng)絡(luò)系統(tǒng)的設(shè)備來(lái)保障。因此，對(duì)七層協(xié)議的安全要求自然包含對(duì)網(wǎng)絡(luò)設(shè)備的安全要

求。

信息安全是與信息系統(tǒng)所實(shí)現(xiàn)的功能密切有關(guān)的，網(wǎng)絡(luò)安全也不例外。網(wǎng)絡(luò)各層協(xié)議的

安全與其在每一層所實(shí)現(xiàn)的功能密切有關(guān)。附錄A中A.2關(guān)于網(wǎng)絡(luò)各層協(xié)議要緊功能的說(shuō)明，

對(duì)物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層等各層的功能進(jìn)行了簡(jiǎn)要描

述，是確定網(wǎng)絡(luò)各層安全功能要求的要緊根據(jù)。

本標(biāo)準(zhǔn)以GB/T20271-2006關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)的通用技術(shù)要求為基礎(chǔ)，圍繞以

訪問(wèn)操縱為核心的思想進(jìn)行編寫(xiě)，在對(duì)網(wǎng)絡(luò)安全的構(gòu)成與相互關(guān)系進(jìn)行簡(jiǎn)要說(shuō)明的基礎(chǔ)上，

第5章對(duì)網(wǎng)絡(luò)安全功能基本技術(shù)分別進(jìn)行了說(shuō)明，第6章是對(duì)第5章網(wǎng)絡(luò)安全功能的分級(jí)分

層情況的描述。在此基礎(chǔ)上，本標(biāo)準(zhǔn)的第7章對(duì)網(wǎng)絡(luò)安全技術(shù)的分等級(jí)要求分別從安全功能

技術(shù)要求與安全保證技術(shù)要求兩方面進(jìn)行了全面說(shuō)明。在第7章的描述中除了引用往常各章

的內(nèi)容外，還引用了GB/T20271-2006中關(guān)于安全保證技術(shù)要求的內(nèi)容。由于GB/T20271-2006

的安全保證技術(shù)要求，對(duì)網(wǎng)絡(luò)而言沒(méi)有需要特別說(shuō)明的內(nèi)容，因此在網(wǎng)絡(luò)基本技術(shù)及其分級(jí)

分層的描述中沒(méi)有涉及這方面的內(nèi)容。

信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)根據(jù)GB17859-1999的五個(gè)安全保護(hù)等級(jí)的劃分，根據(jù)網(wǎng)絡(luò)系統(tǒng)在信息系統(tǒng)中的

作用，規(guī)定了各個(gè)安全等級(jí)的網(wǎng)絡(luò)系統(tǒng)所需要的基礎(chǔ)安全技術(shù)的要求。

本標(biāo)準(zhǔn)適用于按等級(jí)化的要求進(jìn)行的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，對(duì)按等級(jí)化要求進(jìn)行的網(wǎng)

絡(luò)系統(tǒng)安全的測(cè)試與管理可參照使用。

2規(guī)范性引用文件

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件，

其隨后的所有修改單（不包含勘誤的內(nèi)容）或者修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本

標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最

新版本適用于本標(biāo)準(zhǔn)。

GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

3術(shù)語(yǔ)、定義與縮略語(yǔ)

3.1術(shù)語(yǔ)與定義

GB17859-1999確立的與下列術(shù)語(yǔ)與定義適用于本標(biāo)準(zhǔn)。

3.1.1

網(wǎng)絡(luò)安全networksecurity

網(wǎng)絡(luò)環(huán)境下存儲(chǔ)、傳輸與處理的信息的保密性、完整性與可用性的表征。

3.1.2

網(wǎng)絡(luò)安全基礎(chǔ)技術(shù)basistechnologyofnetworksecurity

實(shí)現(xiàn)各類(lèi)類(lèi)型的網(wǎng)絡(luò)系統(tǒng)安全需要的所有基礎(chǔ)性安全技術(shù)。

3.1.3

網(wǎng)絡(luò)安全子系統(tǒng)securitysubsystemofnetwork

網(wǎng)絡(luò)中安全保護(hù)裝置的總稱(chēng)，包含硬件、固件、軟件與負(fù)責(zé)執(zhí)行安全策略的組合體。它

建立了一個(gè)基本的網(wǎng)絡(luò)安全保護(hù)環(huán)境，并提供安全網(wǎng)絡(luò)所要求的附加用戶服務(wù)。

注：按照GB17859-1999對(duì)TCB（可信計(jì)算基）的定義，SS0N（網(wǎng)絡(luò)安全子系統(tǒng)）就是網(wǎng)絡(luò)

的TCB?

3.1.4

SSON安全策略SSONsecuritypolicy

對(duì)SSON中的資源進(jìn)行管理、保護(hù)與分配的一組規(guī)則。一個(gè)SSON中能夠有一個(gè)或者多個(gè)

安全策略。

3.1.5

安全功能策略securityfunctionpolicy

為實(shí)現(xiàn)SSON安全要素要求的功能所使用的安全策略。

3.1.6

安全要素securityelement

本標(biāo)準(zhǔn)中各安全保護(hù)等級(jí)的安全技術(shù)要求所包含的安全內(nèi)容的構(gòu)成成份。

3.1.7

SSON安全功能SSONsecurityfunction

正確實(shí)施SSON安全策略的全部硬件、固件、軟件所提供的功能。每一個(gè)安全策略的實(shí)

現(xiàn)，構(gòu)成一個(gè)SSON安全功能模塊。一個(gè)SSON的所有安全功能模塊共同構(gòu)成該SSON的安全

功能。

3.1.8

SSF操縱范圍SSFscopeofcontrol

SSON的操作所涉及的主體與客體的范圍。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)：

SFP安全功能策略Securityfunctionpolicy

SSCSSF操縱范圍SSFscopeofcontrol

SSFSSON安全功能SSONsecurityfunction

SSPSSON安全策略SSONsecuritypolicy

SSON網(wǎng)絡(luò)安全子系統(tǒng)securitysubsystemofnetwork

4網(wǎng)絡(luò)安全構(gòu)成與相互關(guān)系

根據(jù)0SI參考模型與GB17859—1999所規(guī)定的安全保護(hù)等級(jí)與安全要素，網(wǎng)絡(luò)安全的

構(gòu)成與相互關(guān)系如表1所示。

表1安全保護(hù)等級(jí)、網(wǎng)絡(luò)層次與安全要素的相互關(guān)系

安全要素

安全等蝮和

自主訪向數(shù)據(jù)通挖效基完效搪保網(wǎng)絡(luò)安全

網(wǎng)珞層次9份錦記安全?計(jì)可信路徑

控制控?1N整性密性監(jiān)控

物理層☆

戶恁路層☆★☆☆

自網(wǎng)絡(luò)層☆☆★

ft傳■層，☆☆*

護(hù)會(huì)話層☆☆*在

級(jí)表示犀☆☆☆*

應(yīng)用層☆,fr☆☆

物理層*☆

*健路層

*☆*☆

審網(wǎng)絡(luò)層☆a☆☆*

計(jì)傳■層☆☆☆☆☆

保會(huì)話層

☆☆☆☆*

.衰示層☆☆☆在☆

應(yīng)用層☆☆☆**

?1（續(xù)）

安全娶索

安全等91和

自主訪同勤■訪問(wèn)效■完同結(jié)安全

網(wǎng)絡(luò)層次身份鑒別標(biāo)記安全審計(jì)引信路建杭抵較

控?控1M?畬性宣拄

物理層**

安

住路層a☆食☆食*

全

標(biāo)網(wǎng)堵層☆☆★☆*☆a★食

記梅愴層☆☆*?食☆☆女☆

保

會(huì)話票****★食*女*☆

護(hù)

賽示層☆☆☆*****☆☆

級(jí)

應(yīng)用足☆**★★☆*/$☆

物理層☆★

結(jié)密路層aaA☆

構(gòu)網(wǎng)絡(luò)層☆☆☆☆a☆*☆★☆

化

傳帕星☆☆☆☆☆☆☆☆☆☆

保

護(hù)會(huì)話層*,Ar*★★★☆★☆☆

賽示良☆☆☆☆☆*☆☆★☆☆

應(yīng)用層☆☆☆☆女★**☆女

物理層☆☆

訪

替路層☆☆☆★**☆

R

臉網(wǎng)絡(luò)層☆☆*☆**☆☆*☆

證傳?層☆★☆**☆☆★

保

會(huì)話層☆☆☆￡☆☆★☆☆☆

護(hù)

表示層☆☆力*☆**☆☆☆

成

應(yīng)用層☆★☆*☆☆*☆★*

注J☆”表示具有該要素?每個(gè)安全級(jí)的各層協(xié)議所設(shè)置的安全要索可以是物透界的.選舞的原副是整體上

達(dá)J0安全要求.

關(guān)于網(wǎng)絡(luò)系統(tǒng)的物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層與應(yīng)用層，可分別

按GB17859—1999的各個(gè)安全等級(jí)的要求進(jìn)行設(shè)計(jì)。

在各協(xié)議層中，安全要素的實(shí)現(xiàn)方法但是完全不一致的。本標(biāo)準(zhǔn)基于各項(xiàng)安全要素對(duì)各

協(xié)議層在各個(gè)安全保護(hù)等級(jí)中應(yīng)使用的安全技術(shù)與機(jī)制提出要求。

5網(wǎng)絡(luò)安全功能基本要求

5.1身份鑒別

5.1.1用戶標(biāo)識(shí)

a）基本標(biāo)識(shí)：應(yīng)在SSF實(shí)施所要求的動(dòng)作之前，先對(duì)提出該動(dòng)作要求的用戶進(jìn)行標(biāo)識(shí)。

b）唯一性標(biāo)識(shí)：應(yīng)確保所標(biāo)識(shí)用戶在信息系統(tǒng)生存周期內(nèi)的唯一性，并將用戶標(biāo)識(shí)與

安全審計(jì)有關(guān)聯(lián)。

c）標(biāo)識(shí)信息管理：應(yīng)對(duì)用戶標(biāo)識(shí)信息進(jìn)行管理、保護(hù)，確保其不被非授權(quán)地訪問(wèn)、修

改或者刪除。

5.1.2用戶鑒別

a）基本鑒別：應(yīng)在SSF實(shí)施所要求的動(dòng)作之前，先對(duì)提出該動(dòng)作要求的用戶成功地進(jìn)

行鑒別。

b）不可偽造鑒別：應(yīng)檢測(cè)并防止使用偽造或者復(fù)制的鑒別數(shù)據(jù)。一方面，要求SSF應(yīng)

檢測(cè)或者防止由任何別的用戶偽造的鑒別數(shù)據(jù)，另一方面，要求SSF應(yīng)檢測(cè)或者防止當(dāng)前用

戶從任何其他用戶處復(fù)制的鑒別數(shù)據(jù)的使用。

c）一次性使用鑒別：應(yīng)能提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制，即SSF應(yīng)防止與

已標(biāo)識(shí)過(guò)的鑒別機(jī)制有關(guān)的鑒別數(shù)據(jù)的重用。

d）多機(jī)制鑒別：應(yīng)能提供不一致的鑒別機(jī)制，用于鑒別特定事件的用戶身份，同時(shí)SSF

應(yīng)根據(jù)所描述的多種鑒別機(jī)制如何提供鑒別的規(guī)則，來(lái)鑒別任何用戶所聲稱(chēng)的身份。

e）重新鑒別：應(yīng)有能力規(guī)定需要重新鑒別用戶的事件，即SSF應(yīng)在需要重鑒別的條件

表所指示的條件下，重新鑒別用戶。比如，用戶終端操作超時(shí)被斷開(kāi)后，重新連接時(shí)需要進(jìn)

行重鑒別。

5.1.3用戶一主體綁定

在SSON安全功能操縱范圍之內(nèi)，對(duì)一個(gè)已標(biāo)識(shí)與鑒別的用戶，為了要求SSF完成某個(gè)

任務(wù)，需要激活另一個(gè)主體（如進(jìn)程），這時(shí)，要求通過(guò)用戶一主體綁定將該用戶與該主體有

關(guān)聯(lián)，從而將用戶的身份與該用戶的所有可審計(jì)行為有關(guān)聯(lián)。

5.1.4鑒別失敗處理

要求SSF為不成功的鑒別嘗試次數(shù)（包含嘗試數(shù)目與時(shí)間的閾值）定義一個(gè)值，與明確規(guī)

定達(dá)到該值時(shí)所應(yīng)采取的動(dòng)作。鑒別失敗的處理應(yīng)包含檢測(cè)出現(xiàn)有關(guān)的不成功鑒別嘗試的次

數(shù)與所規(guī)定的數(shù)目相同的情況，并進(jìn)行預(yù)先定義的處理。

5.2自主訪問(wèn)操縱

5.2.1訪問(wèn)操縱策略

SSF應(yīng)按確定的自主訪問(wèn)操縱安全策略進(jìn)行設(shè)計(jì)，實(shí)現(xiàn)計(jì)策略操縱下的主體與客體間操

作的操縱。能夠有多個(gè)自主訪問(wèn)操縱安全策略，但它們務(wù)必獨(dú)立命名，且不能相互沖突。常

用的自主訪問(wèn)操縱策略包含：訪問(wèn)操縱表訪問(wèn)操縱、目錄表訪問(wèn)操縱、權(quán)能表訪問(wèn)操縱等。

5.2.2訪問(wèn)操縱功能

SSF應(yīng)明確指出使用一條命名的訪問(wèn)操縱策略所實(shí)現(xiàn)的特定功能，說(shuō)明策略的使用與特

征，與該策略的操縱范圍。

不管使用何種自主訪問(wèn)操縱策略，SSF應(yīng)有能力提供：

一一在安全屬性或者命名的安全屬性組的客體上，執(zhí)行訪問(wèn)操縱SFP；

—在基于安全屬性的同意主體對(duì)客體訪問(wèn)的規(guī)則的基礎(chǔ)上，同意主體對(duì)客體的訪問(wèn)；

——在基于安全屬性的拒絕主體對(duì)客體訪問(wèn)的規(guī)則的基礎(chǔ)上，拒絕主體對(duì)客體的訪問(wèn)。

5.2.3訪問(wèn)操縱范圍

網(wǎng)絡(luò)系統(tǒng)中自主訪問(wèn)操縱的覆蓋范圍分為：

a）子集訪問(wèn)操縱：要求每個(gè)確定的自主訪問(wèn)操縱，SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所定義的主

體、客體及其之間的操作；

b）完全訪問(wèn)操縱：要求每個(gè)確定的自主訪問(wèn)操縱，SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所有的主體、

客體及其之間的操作，即要求SSF應(yīng)確保SSC內(nèi)的任意一個(gè)主體與任意一個(gè)客體之間的所有

操作將至少被一個(gè)確定的訪問(wèn)操縱SFP覆蓋。

5.2.4訪問(wèn)操縱粒度

網(wǎng)絡(luò)系統(tǒng)中自主訪問(wèn)操縱的粒度分為：

a）粗粒度：主體為用戶組/用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；

b）中粒度：主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)與/或者記錄、字段級(jí)；

C）細(xì)粒度：主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)與/或者記錄、字段級(jí)或者元素級(jí)。

5.3標(biāo)記

5.3.1主體標(biāo)記

應(yīng)為實(shí)施強(qiáng)制訪問(wèn)操縱的主體指定敏感標(biāo)記，這些敏感標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)操縱的根

據(jù)。如：等級(jí)分類(lèi)與非等級(jí)類(lèi)別組合的敏感標(biāo)記是實(shí)施多級(jí)安全模型的基礎(chǔ)。

5.3.2客體標(biāo)記

應(yīng)為實(shí)施強(qiáng)制訪問(wèn)操縱的客體指定敏感標(biāo)記，這些敏感標(biāo)記是實(shí)施強(qiáng)制訪問(wèn)操縱的根

據(jù)。如：等級(jí)分類(lèi)與非等級(jí)類(lèi)別組合的敏感標(biāo)記是實(shí)施多級(jí)安全模型的基礎(chǔ)。

5.3.3標(biāo)記完整性

敏感標(biāo)記應(yīng)能準(zhǔn)確地表示特定主體或者客體的訪問(wèn)操縱屬性，主體與客體應(yīng)以此發(fā)生關(guān)

聯(lián)。當(dāng)數(shù)據(jù)從SSON輸出時(shí)，根據(jù)需要，敏感標(biāo)記應(yīng)能準(zhǔn)確地與明確地表示輸出數(shù)據(jù)的內(nèi)部

標(biāo)記，并與輸出的數(shù)據(jù)有關(guān)聯(lián)。

5.3.4有標(biāo)記信息的輸出

SSON應(yīng)對(duì)每個(gè)通信信道與I/O設(shè)備標(biāo)明單級(jí)或者多級(jí)。這個(gè)標(biāo)志的任何變化都應(yīng)由授

權(quán)用戶實(shí)現(xiàn)，并可由SSON審計(jì)。SSON應(yīng)維持同時(shí)能夠?qū)Π踩Ｗo(hù)等級(jí)的任何變化進(jìn)行審定,

或者對(duì)與通信信道或者I/O設(shè)備有關(guān)的安全保護(hù)等級(jí)進(jìn)行安全審計(jì)。

a）向多級(jí)安全設(shè)備的輸出：當(dāng)SSON將一客體信息輸出到一個(gè)具有多級(jí)安全的I/O設(shè)

備時(shí)，與該客體有關(guān)的敏感標(biāo)記也應(yīng)輸出，并以與輸出信息相同的形式（如機(jī)器可讀或者人

可讀形式）駐留在同一物理媒體上。當(dāng)SSON在多級(jí)通信信道上輸出或者輸入一客體信息時(shí)，

該信道使用的協(xié)議應(yīng)在敏感標(biāo)記與被發(fā)送或者被接收的有關(guān)信息之間提供明確的配對(duì)關(guān)系。

b）向單級(jí)安全設(shè)備的輸出：?jiǎn)渭?jí)I/O設(shè)備與單級(jí)通信信道不需要維持其處理信息的敏

感標(biāo)記，但SSON應(yīng)包含一種機(jī)制，使SSON與一個(gè)授權(quán)用戶能可靠地實(shí)現(xiàn)指定的安全級(jí)的信

息通信。這種信息經(jīng)由單級(jí)通信信道或者I/O設(shè)備輸入/輸出。

c）人可讀標(biāo)記的輸出：SSON應(yīng)標(biāo)記所有人可讀的、編頁(yè)的、具有人可讀的敏感標(biāo)記的

硬拷貝輸出（如行打印機(jī)輸出）的開(kāi)始與結(jié)束，以適當(dāng)?shù)乇硎据敵雒舾行?。SSON應(yīng)按默認(rèn)值

標(biāo)記人可讀的、編頁(yè)的、具有人可讀的敏感標(biāo)記的硬拷貝輸出（如行打印機(jī)輸出）每頁(yè)的頂部

與底部，以適當(dāng)?shù)乇硎驹撦敵隹偟拿舾行裕蛘弑硎驹擁?yè)信息的敏感性。SSON應(yīng)該按默認(rèn)

值，并以一種適當(dāng)方法標(biāo)記具有人可讀的敏感標(biāo)記的其他形式的人可讀的輸出（如圖形），以

適當(dāng)?shù)乇硎驹撦敵龅拿舾行?。這些標(biāo)記默認(rèn)值的任何濫用都應(yīng)由SSON審計(jì)。

5.4強(qiáng)制訪問(wèn)操縱

5.4.1訪問(wèn)操縱策略

網(wǎng)絡(luò)強(qiáng)制訪問(wèn)操縱策略應(yīng)包含策略操縱下的主體、客體，及由策略覆蓋的被操縱的主體

與客體間的操作。能夠有多個(gè)訪問(wèn)操縱安全策略，但它們務(wù)必獨(dú)立命名，且不能相互沖突。

當(dāng)前常見(jiàn)的強(qiáng)制訪問(wèn)操縱策略有：

a）多級(jí)安全模型：基本思想是，在對(duì)主、客體進(jìn)行標(biāo)記的基礎(chǔ)上，SSOIS操縱范圍內(nèi)

的所有主體對(duì)客體的直接或者間接的訪問(wèn)應(yīng)滿足：

—向下讀原則：僅當(dāng)主體標(biāo)記中的等級(jí)分類(lèi)高于或者等于客體標(biāo)記中的等級(jí)分類(lèi)，且

主體標(biāo)記中的非等級(jí)類(lèi)別包含了客體標(biāo)記中的全部非等級(jí)類(lèi)別，主體才能讀該客體；

—向上寫(xiě)原則：僅當(dāng)主體標(biāo)記中的等級(jí)分類(lèi)低于或者等于客體標(biāo)記中的等級(jí)分類(lèi)，且

主體標(biāo)記中的非等級(jí)類(lèi)別包含于客體標(biāo)記中的非等級(jí)類(lèi)別，主體才能寫(xiě)該客體。

b）基于角色的訪問(wèn)操縱（BRAC）：基本思想是，按角色進(jìn)行權(quán)限的分配與管理：通過(guò)對(duì)

主體進(jìn)行角色授予，使主體獲得相應(yīng)角色的權(quán)限；通過(guò)撤消主體的角色授予，取消主體所獲

得的相應(yīng)角色權(quán)限。在基于角色的訪問(wèn)操縱中，標(biāo)記信息是對(duì)主體的授權(quán)信息。

C）特權(quán)用戶管理：基本思想是，針對(duì)特權(quán)用戶權(quán)限過(guò)于集中所帶來(lái)的安全隱患，對(duì)特

權(quán)用戶按最小授權(quán)原則進(jìn)行管理。實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離；僅授予特權(quán)用戶為完成自身任

務(wù)所需要的最小權(quán)限。

5.4.2訪問(wèn)操縱功能

SSF應(yīng)明確指出使用一條命名的強(qiáng)制訪問(wèn)操縱策略所實(shí)現(xiàn)的特定功能。SSF應(yīng)有能力提

供：

一一在標(biāo)記或者命名的標(biāo)記組的客體上，執(zhí)行訪問(wèn)操縱SFP；

一按受控主體與受控客體之間的同意訪問(wèn)規(guī)則，決定同意受控主體對(duì)受控客體執(zhí)行受

控操作；

一按受控主體與受控客體之間的拒絕訪問(wèn)規(guī)則，決定拒絕受控主體對(duì)受控客體執(zhí)行受

控操作。

5.4.3訪問(wèn)操縱范圍

網(wǎng)絡(luò)強(qiáng)制訪問(wèn)操縱的覆蓋范圍分為：

a）子集訪問(wèn)操縱：對(duì)每個(gè)確定的強(qiáng)制訪問(wèn)操縱，SSF應(yīng)覆蓋信息系統(tǒng)中由安全功能所

定義的主體、客體及其之間的操作；

b）完全訪問(wèn)操縱：對(duì)每個(gè)確定的強(qiáng)制訪問(wèn)操縱，SSF應(yīng)覆蓋信息系統(tǒng)中所有的主體、

客體及其之間的操作，即要求SSF應(yīng)確保SSC內(nèi)的任意一個(gè)主體與任意一個(gè)客體之間的操作

將至少被一個(gè)確定的訪問(wèn)操縱SFP覆蓋。

5.4.4訪問(wèn)操縱粒度

網(wǎng)絡(luò)強(qiáng)制訪問(wèn)操縱的粒度分為：

a）中粒度：主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)與/或者記錄、字段級(jí)；

b）細(xì)粒度：主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)與/或者記錄、字段級(jí)與/或者元

素級(jí)。

5.4.5訪問(wèn)操縱環(huán)境

a）單一安全域環(huán)境：在單一安全域環(huán)境實(shí)施的強(qiáng)制訪問(wèn)操縱應(yīng)在該環(huán)境中維持統(tǒng)一的

標(biāo)記信息與訪問(wèn)規(guī)則。當(dāng)被控客體輸出到安全域以外時(shí)，應(yīng)將其標(biāo)記信息同時(shí)輸出；

b）多安全域環(huán)境：在多安全域環(huán)境實(shí)施統(tǒng)一安全策略的強(qiáng)制訪問(wèn)操縱時(shí)，應(yīng)在這些安

全域中維持統(tǒng)一的標(biāo)記信息與訪問(wèn)規(guī)則。當(dāng)被操縱客體在這些安全域之間移動(dòng)時(shí)，應(yīng)將其標(biāo)

記信息一起移動(dòng)。

5.5數(shù)據(jù)流操縱

對(duì)網(wǎng)絡(luò)中以數(shù)據(jù)流方式實(shí)現(xiàn)數(shù)據(jù)流淌的情況,應(yīng)使用數(shù)據(jù)流操縱機(jī)制實(shí)現(xiàn)對(duì)數(shù)據(jù)流淌的

操縱，以防止具有高等級(jí)安全的數(shù)據(jù)信息向低等級(jí)的區(qū)域流淌。

5.6安全審計(jì)

5.6.1安全審計(jì)的響應(yīng)

安全審計(jì)SSF應(yīng)按下列要求響應(yīng)審計(jì)事件：

a）記審計(jì)日志：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，將審計(jì)數(shù)據(jù)記人審計(jì)日志；

b）實(shí)時(shí)報(bào)警生成：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，生成實(shí)時(shí)報(bào)警信息；

c）違例進(jìn)程終止：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，將違例進(jìn)程終止；

d）服務(wù)取消：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，取消當(dāng)前的服務(wù)；

e）用戶賬號(hào)斷開(kāi)與失效：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，將當(dāng)前的用戶賬號(hào)斷開(kāi)，

并使其失效。

5.6.2安全審計(jì)數(shù)據(jù)產(chǎn)生

SSF應(yīng)按下列要求產(chǎn)生審計(jì)數(shù)據(jù)：

a）為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：

―審計(jì)功能的啟動(dòng)與關(guān)閉；

一一使用身份鑒別機(jī)制；

一一將客體引入用戶地址空間（比如：打開(kāi)文件、程序初始化）；

——?jiǎng)h除客體；

一一系統(tǒng)管理員、系統(tǒng)安全員、審計(jì)員與通常操作員所實(shí)施的操作；

—其他與系統(tǒng)安全有關(guān)的事件或者專(zhuān)門(mén)定義的可審計(jì)事件。

b）關(guān)于每一個(gè)事件，其審計(jì)記錄應(yīng)包含：事件的日期與時(shí)間、用戶、事件類(lèi)型、事件

是否成功，及其他與審計(jì)有關(guān)的信息。

c）關(guān)于身份鑒別事件，審計(jì)記錄應(yīng)包含請(qǐng)求的來(lái)源（比如：終端標(biāo)識(shí)符）。

d）關(guān)于客體被引入用戶地址空間的事件及刪除客體事件，審計(jì)記錄應(yīng)包含客體名及客

體的安全保護(hù)等級(jí)。

e）將每個(gè)可審計(jì)事件與引起該事件的用戶有關(guān)聯(lián)。

5.6.3安全審計(jì)分析

安全審計(jì)分析應(yīng)包含：

a）潛在侵害分析：應(yīng)能用一系列規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)這些規(guī)則指出SSP的潛

在侵害。這些規(guī)則包含：

―由己定義的可審計(jì)事件的子集所指示的潛在安全攻擊的積存或者組合；

----任何其他的規(guī)則。

b）基于特殊檢測(cè)的描述：應(yīng)保護(hù)用戶所具有的質(zhì)疑等級(jí)一一歷史使用情況，以說(shuō)明該

用戶的現(xiàn)行活動(dòng)與已建立的使用模式的一致性程度。當(dāng)用戶的質(zhì)疑等級(jí)超過(guò)門(mén)限條件時(shí),SSF

應(yīng)能指出將要發(fā)生對(duì)安全性的威脅。

c）簡(jiǎn)單攻擊探測(cè)：應(yīng)能檢測(cè)到對(duì)SSF實(shí)施有重大威脅的簽名事件的出現(xiàn)。為此，SSF

應(yīng)保護(hù)指出對(duì)SSF侵害的簽名事件的內(nèi)部表示,并將檢測(cè)到的系統(tǒng)行為記錄與簽名事件進(jìn)行

比較，當(dāng)發(fā)現(xiàn)兩者匹配時(shí)，指出一個(gè)對(duì)SSF的攻擊馬上到來(lái)。

d）復(fù)雜攻擊探測(cè)：在上述簡(jiǎn)單攻擊探測(cè)的基礎(chǔ)上，要求SSF應(yīng)能檢測(cè)到多步入侵情況,

并能根據(jù)已知的事件序列模擬出完整的入侵情況，還應(yīng)指出發(fā)現(xiàn)對(duì)，SSF的潛在侵害的簽名

事件或者事件序列的時(shí)間。

5.6.4安全審計(jì)查閱

安全審計(jì)查閱工具應(yīng)具有：

a）審計(jì)查閱：提供從審計(jì)記錄中讀取信息的能力，即要求SSF為授權(quán)用戶提供獲得與

解釋審計(jì)信息的能力。當(dāng)用戶是人時(shí)，務(wù)必以人類(lèi)可懂的方式表示信息；當(dāng)用戶是外部IT

實(shí)體時(shí)，務(wù)必以電子方式無(wú)歧義地表示審計(jì)信息。

b）有限審計(jì)查閱：在上述審計(jì)查閱的基礎(chǔ)上，審計(jì)查閱工具應(yīng)禁止具有讀訪問(wèn)權(quán)限以

外的用戶讀取審計(jì)信息。

c）可選審計(jì)查閱：在上述有限審計(jì)查閱的基礎(chǔ)上，審計(jì)查閱工具應(yīng)具有根據(jù)準(zhǔn)則來(lái)選

擇要查閱的審計(jì)數(shù)據(jù)的功能，并根據(jù)某種邏輯關(guān)系的標(biāo)準(zhǔn)提供對(duì)審計(jì)數(shù)據(jù)進(jìn)行搜索、分類(lèi)、

排序的能力0

5.6.5安全審計(jì)事件選擇

應(yīng)根據(jù)下列屬性選擇可審計(jì)事件：

a）客體身份、用戶身份、主體身份、主機(jī)身份、事件類(lèi)型；

b）作為審計(jì)選擇性根據(jù)的附加屬性。

5.6.6安全審計(jì)事件存儲(chǔ)

應(yīng)具有下列創(chuàng)建并保護(hù)安全的審計(jì)蹤跡記錄的能力：

a）受保護(hù)的審計(jì)蹤跡存儲(chǔ)：要求審計(jì)蹤跡的存儲(chǔ)受到應(yīng)有的保護(hù)，能檢測(cè)或者防止對(duì)

審計(jì)記錄的修改；

b）審計(jì)數(shù)據(jù)的可用性確保：要求在意外情況出現(xiàn)時(shí)，能檢測(cè)或者防止對(duì)審計(jì)記錄的修

改，與在發(fā)生審計(jì)存儲(chǔ)已滿、存儲(chǔ)失敗或者存儲(chǔ)受到攻擊時(shí)，確保審計(jì)記錄不被破壞：

c）審計(jì)數(shù)據(jù)可能丟失情況下的措施：要求當(dāng)審計(jì)跟蹤超過(guò)預(yù)定的門(mén)限時(shí)，應(yīng)采取相應(yīng)

的措施，進(jìn)行審計(jì)數(shù)據(jù)可能丟失情況的處理；

d）防止審計(jì)數(shù)據(jù)丟失：要求在審計(jì)蹤跡存儲(chǔ)記滿時(shí)，應(yīng)采取相應(yīng)的防止審計(jì)數(shù)據(jù)丟失

的措施，可選擇“忽略可審計(jì)事件”、“阻止除具有特殊權(quán)限外的其他用戶產(chǎn)生可審計(jì)事

件”、“覆蓋已存儲(chǔ)的最老的審計(jì)記錄”與“一旦審計(jì)存儲(chǔ)失敗所采取的其他行動(dòng)”等措

施，防止審計(jì)數(shù)據(jù)丟失.

5.7用戶數(shù)據(jù)完整性

5.7.1存儲(chǔ)數(shù)據(jù)的完整性

應(yīng)對(duì)存儲(chǔ)在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)，包含：

a）完整性檢測(cè)：要求SSF應(yīng)對(duì)基于用戶屬性的所有客體，對(duì)存儲(chǔ)在SSC內(nèi)的用戶數(shù)據(jù)

進(jìn)行完整性檢測(cè)；

b）完整性檢測(cè)與恢復(fù)：要求SSF應(yīng)對(duì)基于用戶屬性的所有客體，對(duì)存儲(chǔ)在SSC內(nèi)的用

戶數(shù)據(jù)進(jìn)行完整性檢測(cè)，同時(shí)當(dāng)檢測(cè)到完整性錯(cuò)誤時(shí)，SSF應(yīng)采取必要的SSF應(yīng)采取必要的

恢復(fù)、審計(jì)或者報(bào)警措施。

5.7.2傳輸數(shù)據(jù)的完整性

當(dāng)用戶數(shù)據(jù)在SSF與其他可信1T系統(tǒng)間傳輸時(shí)應(yīng)提供完整性保護(hù)，包含：

a）完整性檢測(cè)：要求對(duì)被傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)以某種方式傳送或者接

收的用戶數(shù)據(jù)被篡改、刪除、插入等情況發(fā)生：

b）數(shù)據(jù)交換恢復(fù)：由接收者SSON借助于源可信IT系統(tǒng)提供的信息,或者由接收者SSON

自己無(wú)須來(lái)自源可信IT系統(tǒng)的任何幫助，能恢復(fù)被破壞的數(shù)據(jù)為原始的用戶數(shù)據(jù)。若沒(méi)有

可恢復(fù)條件，應(yīng)向源可信IT系統(tǒng)提供反饋信息。

5.7.3處理數(shù)據(jù)的完整性

回退：對(duì)信息系統(tǒng)中處理中的數(shù)據(jù)，應(yīng)通過(guò)“回退”進(jìn)行完整性保護(hù)，即要求SSF應(yīng)執(zhí)

行訪問(wèn)操縱SFP,以同意對(duì)所定義的操作序列進(jìn)行回退。

5.8用戶數(shù)據(jù)保密性

5.8.1存儲(chǔ)數(shù)據(jù)的保密性

應(yīng)對(duì)存儲(chǔ)在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。

5.8.2傳輸數(shù)據(jù)的保密性

應(yīng)對(duì)在SSC內(nèi)傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行保密性保護(hù)。

5.8.3客體安全重用

在對(duì)資源進(jìn)行動(dòng)態(tài)管理的系統(tǒng)中，客體資源（寄存器、內(nèi)存、磁盤(pán)等記錄介質(zhì)）中的剩余

信息不應(yīng)引起信息的泄露。客體安全重用分為：

a）子集信息保護(hù)：要求對(duì)SSON安全操縱范圍之內(nèi)的某個(gè)子集的客體資源，在將其分配

給某一用戶或者代表該用戶運(yùn)行的進(jìn)程時(shí)，應(yīng)不可能泄露該客體中的原有信息；

b）完全信息保護(hù)：要求對(duì)SSON安全操縱范圍之內(nèi)的所有客體資源，在將其分配給某一

用戶或者代表該用戶運(yùn)行的進(jìn)程時(shí)，應(yīng)不可能泄露該客體中的原有信息；

c）特殊信息保護(hù)：關(guān)于某些需要特別保護(hù)的信息，應(yīng)使用專(zhuān)門(mén)的方法對(duì)客體資源中的

殘留信息做完全清除，如對(duì)剩磁的清除等。

5.9可信路徑

用戶與SSF間的可信路徑應(yīng)：

a）提供真實(shí)的端點(diǎn)標(biāo)識(shí)，并保護(hù)通信數(shù)據(jù)免遭修改與泄露；

b）利用可信路徑的通信能夠由SSF自身、本地用戶或者遠(yuǎn)程用戶發(fā)起；

c）對(duì)原發(fā)用戶的鑒別或者需要可信路徑的其他服務(wù)均使用可信路徑。

5.10抗抵賴(lài)

5.10.1抗原發(fā)抵賴(lài)

應(yīng)確保信息的發(fā)送者不能否認(rèn)曾經(jīng)發(fā)送過(guò)該信息。這就要求SSF提供一種方法，來(lái)確保

接收信息的主體在數(shù)據(jù)交換期間能獲得證明信息原發(fā)的證據(jù)，而且該證據(jù)可由該主體或者第

三方主體驗(yàn)證。

抗原發(fā)抵賴(lài)分為：

a）選擇性原發(fā)證明：要求SSF具有為主體提供請(qǐng)求原發(fā)證據(jù)信息的能力。即SSF在接

到原發(fā)者或者接收者的請(qǐng)求時(shí)，能就傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)，證明該信息的發(fā)送由該原發(fā)

者所為。

b）強(qiáng)制性原發(fā)證明：要求SSF在任何時(shí)候都能對(duì)傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)。即SSF在

任何時(shí)候都能就傳輸?shù)男畔?qiáng)制產(chǎn)生原發(fā)證據(jù)，證明該信息的發(fā)送由該原發(fā)者所為。

5.10.2抗接收抵賴(lài)

應(yīng)確保信息的接收者不能否認(rèn)同意過(guò)該信息。這就要求SSF提供一種方法，來(lái)確保發(fā)送

信息的主體在數(shù)據(jù)交換期間能獲得證明該信息被接收的證據(jù)，而且該證據(jù)可由該主體或者第

三方主體驗(yàn)證。

抗接收抵賴(lài)分為：

a）選擇性接收證明：要求SSF具有為主體提供請(qǐng)求信息接收證據(jù)的能力。即SSF在接

到原發(fā)者或者接收者的請(qǐng)求時(shí)，能就接收到的信息產(chǎn)生接收證據(jù)，證明該信息的接收由該接

收者所為。

b）強(qiáng)制性接收證明：要求SSF總是對(duì)收到的信息產(chǎn)生接收證據(jù)。即SSF能在任何時(shí)候

對(duì)收到的信息強(qiáng)制產(chǎn)生接收證據(jù)，證明該信息的接收由該接收者所為。

5.1.1網(wǎng)絡(luò)安全監(jiān)控

網(wǎng)絡(luò)安全監(jiān)控應(yīng)使用下列安全技術(shù)與機(jī)制：

a）網(wǎng)絡(luò)安全探測(cè)機(jī)制：在構(gòu)成網(wǎng)絡(luò)系統(tǒng)的各個(gè)重要部位，設(shè)置探測(cè)器，實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)

數(shù)據(jù)流，監(jiān)視與記錄內(nèi)、外部用戶出入網(wǎng)絡(luò)的有關(guān)操作。在發(fā)現(xiàn)違規(guī)模式與未授權(quán)訪問(wèn)時(shí)，

報(bào)告網(wǎng)絡(luò)安全監(jiān)控中心。

b）網(wǎng)絡(luò)安全監(jiān)控中心：設(shè)置安全監(jiān)控中心，對(duì)收到的來(lái)自探測(cè)器的信息，根據(jù)安全策

略進(jìn)行分析，并作審計(jì)、報(bào)告、事件記錄與報(bào)警等處理。網(wǎng)絡(luò)安全監(jiān)控中心應(yīng)具有必要的遠(yuǎn)

程管理功能，如對(duì)探測(cè)器實(shí)現(xiàn)遠(yuǎn)程參數(shù)設(shè)置、遠(yuǎn)程數(shù)據(jù)下載、遠(yuǎn)程啟動(dòng)等操作。網(wǎng)絡(luò)安全監(jiān)

控中心還應(yīng)具有實(shí)時(shí)響應(yīng)功能，包含攻擊分析與響應(yīng)、誤操作分析與響應(yīng)、漏洞分析與響應(yīng)

等。

6網(wǎng)絡(luò)安全功能分層分級(jí)要求

6.1身份鑒別功能

應(yīng)按照用戶標(biāo)識(shí)與用戶鑒別的要求進(jìn)行身份鑒別安全機(jī)制的設(shè)計(jì)。

通常以用戶名與用戶標(biāo)識(shí)符來(lái)標(biāo)識(shí)一個(gè)用戶，應(yīng)確保在一個(gè)信息系統(tǒng)中用戶名與用戶標(biāo)

識(shí)符的唯一性，嚴(yán)格的唯一性應(yīng)維持在網(wǎng)絡(luò)系統(tǒng)的整個(gè)生存周期都有效，即使一個(gè)用戶的賬

戶己被刪除，他的用戶名與標(biāo)識(shí)符也不能再使用，并由此確保用戶的唯一性與可區(qū)別性。

鑒別應(yīng)確保用戶的真實(shí)性。能夠用口令進(jìn)行鑒別，更嚴(yán)格的身份鑒別可使用智能IC卡

密碼技術(shù)，指紋、虹膜等特征信息進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)之前進(jìn)行鑒別?？?/p>

令應(yīng)是不可見(jiàn)的，并在存儲(chǔ)與傳輸時(shí)進(jìn)行保護(hù)。智能IC卡身份鑒別應(yīng)以密碼技術(shù)為基礎(chǔ)，

并按用戶鑒別中不可偽造鑒別所描述的要求進(jìn)行設(shè)計(jì)。關(guān)于鑒別失敗的情況，要求按鑒別失

敗所描述的要求進(jìn)行處理。

用戶在系統(tǒng)中的行為通常由進(jìn)程代為執(zhí)行，要求按用戶一主體綁定所描述的要求，將用

戶與代表該用戶行為的進(jìn)程有關(guān)聯(lián)。這種關(guān)聯(lián)應(yīng)表達(dá)在SSON安全功能操縱范圍之內(nèi)各主、

客體之間的相互關(guān)系上。比如，一個(gè)用戶通過(guò)鍵入一條命令要求訪問(wèn)一個(gè)指定文件，信息系

統(tǒng)運(yùn)行某一進(jìn)程實(shí)現(xiàn)這一功能。這時(shí)，該進(jìn)程應(yīng)與該用戶有關(guān)聯(lián)，因此該進(jìn)程的行為即可看

作該用戶的行為。

身份鑒別應(yīng)區(qū)分實(shí)體鑒別與數(shù)據(jù)起源鑒別：當(dāng)身份是由參與通信連接或者會(huì)話的遠(yuǎn)程實(shí)

體提交時(shí)叫實(shí)體鑒別，它能夠作為訪問(wèn)操縱服務(wù)的一種必要支持；當(dāng)身份信息是由數(shù)據(jù)項(xiàng)發(fā)

送者提交時(shí)叫數(shù)據(jù)起源鑒別，它是確保部分完整性目標(biāo)的直接方法，確保明白某個(gè)數(shù)據(jù)項(xiàng)的

真正起源。

表2給出了從用戶自主保護(hù)級(jí)到訪問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)身份鑒別功能的分層分級(jí)要求。

表2身份鑒別功能分層分級(jí)要求

安全保護(hù)?級(jí)安全功能基本要求

和網(wǎng)絡(luò)層次5.1.1用戶徐識(shí)5.1?2用戶要?jiǎng)e5.1.3用戶一主體籌定5.L4鑒別失敗處理

物理層

修路層☆☆

網(wǎng)絡(luò)層★*☆

用戶自主

傳輸層☆☆☆

保護(hù)級(jí)

會(huì)話及☆*☆

表示層☆☆☆

應(yīng)用層☆☆★

物理屋

鏈路層☆☆☆

網(wǎng)絡(luò)層☆☆☆

系境率計(jì)

傳?層☆☆☆

保護(hù)皴

會(huì)常層☆玄☆

表示是☆☆☆

應(yīng)用層*☆☆

物理層

候踣層☆☆☆

網(wǎng)絡(luò)層☆☆☆

登全標(biāo)耳

傳輸層☆☆☆

保護(hù)領(lǐng)

會(huì)話層☆☆☆

表示層☆☆☆

應(yīng)用展☆☆☆☆

鋅路層☆☆☆

網(wǎng)輅層☆☆☆

結(jié)構(gòu)化

傳輸層★*☆

保護(hù)級(jí)

會(huì)話層☆☆☆

衰示層☆☆☆

應(yīng)用層☆☆☆☆

物曜屋

線路層力☆☆

網(wǎng)絡(luò)層☆☆☆

Wwlmt

傳輸層☆☆☆

保護(hù)級(jí)

會(huì)話層☆☆

裳承層☆☆☆

應(yīng)用屋☆☆*☆

注:，☆"表示具有談要求.每個(gè)安全保護(hù)等馥的具體要求可能不問(wèn)?津見(jiàn)第7章描述.

6.2自主訪問(wèn)操縱功能

應(yīng)按照對(duì)訪問(wèn)操縱策略的要求，選擇所需的訪問(wèn)操縱策略，并按照對(duì)訪問(wèn)操縱功能的要

求，設(shè)計(jì)與實(shí)現(xiàn)所需要的自主訪問(wèn)操縱功能。

當(dāng)使用文件、目錄與網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。訪問(wèn)操

縱規(guī)則應(yīng)將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄與網(wǎng)絡(luò)設(shè)備相聯(lián)系。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)

先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)操縱表，用以說(shuō)明用戶對(duì)網(wǎng)

絡(luò)資源的訪問(wèn)能力。自主訪問(wèn)操縱應(yīng)能操縱下列權(quán)限：

a）向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝文件、刪除目錄或者文件、查看目錄與文件、執(zhí)行文件、

隱含文件、共享、系統(tǒng)屬性等。

b）為每個(gè)命名客體指定用戶名與用戶組，與規(guī)定他們對(duì)客體的訪問(wèn)模式。

表3給出了從用戶自主保護(hù)級(jí)到訪問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)自主訪問(wèn)操縱功能的分層分級(jí)要求。

表3自主訪問(wèn)操縱功能分層分級(jí)要求

安全功能哥本要求

安攵豫職等俵

?】切阿S.2.2訪阿5.2.3訪問(wèn)拄制/帝S.2.4岱月拄《（也值

和網(wǎng)絡(luò)層次52.

控制修崎控制功餐?）子鬃訪問(wèn)控制b）完全彷閏控制?>?ttKb＞中U度c)?ttK

*☆a☆

用戶手★★a☆

。主傳?奧☆a★*

保妒會(huì)話展

a?☆☆*

表示層☆☆★

應(yīng)用量?★☆☆

?兩層

☆☆★☆

*☆☆☆

，計(jì)傳?原★☆☆*

wra會(huì)恬展

*☆*★

*示展☆★☆*

應(yīng)用層☆☆**

A

■■層*

■■屋a☆☆玄

安全???★★★a

Kid傳**☆☆a力.

保滬?會(huì)看展

☆☆*★

我承噲☆☆★*

應(yīng)用層☆☆☆★

?3(埃》

安全功■?本要求

安全保?等網(wǎng)

S.2.2訪問(wèn)5?2?3訪問(wèn)控制范凰5.2.4仿同位副位度

相同塔髭次5.2.1MN

??)??拉"功?a）子蠢5X控■b）良殳,網(wǎng)控■?)ttttKb）中我Kc>■險(xiǎn)度

玄☆☆☆

儀☆玄

詰構(gòu)化

☆☆☆☆

保手諼

*☆假

央示層☆☆☆☆

應(yīng)用層☆★☆☆

☆☆☆☆

☆☆*☆

的問(wèn)

*修傳?屋★☆☆☆

保6級(jí)

會(huì)話層★☆☆☆

???★☆☆☆

應(yīng)用型☆☆*☆

注?表示具物“*京.

6.3標(biāo)記功能

應(yīng)按照主體標(biāo)記與客體標(biāo)記所描述的要求進(jìn)行標(biāo)記設(shè)計(jì)。

在網(wǎng)絡(luò)環(huán)境中，帶有特定標(biāo)記的數(shù)據(jù)應(yīng)能被安全策略禁止通過(guò)某些子網(wǎng)、鏈路或者中繼。

連接的發(fā)起者（或者無(wú)連接數(shù)據(jù)單元的發(fā)送者）能夠指定路由選擇說(shuō)明，請(qǐng)求回避某些特定的

子網(wǎng)、鏈路或者中繼。

包含數(shù)據(jù)項(xiàng)的資源應(yīng)具有與這些數(shù)據(jù)有關(guān)聯(lián)的敏感標(biāo)記。敏感標(biāo)記可能是與被傳送的數(shù)

據(jù)相連的附加數(shù)據(jù)，也可能是隱含的信息，比如使用一個(gè)特定密鑰加密數(shù)據(jù)所隱含的信息或

者由該數(shù)據(jù)的上下文隱含的信息，可由數(shù)據(jù)源或者路由來(lái)隱含。明顯的敏感標(biāo)記務(wù)必是清晰

可辨認(rèn)的，以便對(duì)它們作適當(dāng)?shù)尿?yàn)證。此外，它們還務(wù)必安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。

關(guān)于在通信期間要移動(dòng)的數(shù)據(jù)項(xiàng)，發(fā)起通信的進(jìn)程與實(shí)體，響應(yīng)通信的進(jìn)程與實(shí)體，在

通信時(shí)被用到的信道與其他資源等，都能夠用各自的敏感信息來(lái)標(biāo)記。安全策略應(yīng)指明如何

使用敏感信息以提供必要的安全性。當(dāng)安全策略是基于用戶身份時(shí)