網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

1、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求引言本標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全保護(hù)等級(jí)的網(wǎng)絡(luò)系統(tǒng)，主要說(shuō)明為實(shí)現(xiàn) GB7859 1999 中每一個(gè)安全保護(hù)等級(jí)的安全要求，網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全保護(hù)等級(jí)中具體差異。網(wǎng)絡(luò)是一個(gè)具有復(fù)雜結(jié)構(gòu)、由許多網(wǎng)絡(luò)設(shè)備組成的系統(tǒng)，不同的網(wǎng)絡(luò)環(huán)境又會(huì)有不同的系統(tǒng)結(jié)構(gòu)。然而，從網(wǎng)絡(luò)系統(tǒng)所實(shí)現(xiàn)的功能來(lái)看，可以概括為“實(shí)現(xiàn)網(wǎng)上信息交換”。網(wǎng)上信息交換具體可以分解為信息的發(fā)送、信息的傳輸和信息的接收。 從信息安全的角度， 網(wǎng)絡(luò)信息安全可以概括為“保障網(wǎng)上信息交換的安全”，具體表現(xiàn)為信息發(fā)送的安全、信息傳輸?shù)陌踩托畔⒔邮盏陌踩?/p>

2、以及網(wǎng)上信息交換的抗抵賴(lài)等。 網(wǎng)上信息交換是通過(guò)確定的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的，不同的網(wǎng)絡(luò)會(huì)有不同的協(xié)議。任何網(wǎng)絡(luò)設(shè)備都是為實(shí)現(xiàn)確定的網(wǎng)絡(luò)協(xié)議而設(shè)置的。典型的、具有代表性的網(wǎng)絡(luò)協(xié)議是國(guó)際標(biāo)準(zhǔn)化組織的開(kāi)放系統(tǒng)互連協(xié)議（ISO/OSI），也稱(chēng)七層協(xié)議。雖然很少有完全按照七層協(xié)議構(gòu)建的網(wǎng)絡(luò)系統(tǒng)， 但是七層協(xié)議的理論價(jià)值和指導(dǎo)作用是任何網(wǎng)絡(luò)協(xié)議所不可替代的。網(wǎng)絡(luò)安全需要通過(guò)協(xié)議安全來(lái)實(shí)現(xiàn)。通過(guò)對(duì)七層協(xié)議每一層安全的描述，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的完整描述。網(wǎng)絡(luò)協(xié)議的安全需要由組成網(wǎng)絡(luò)系統(tǒng)的設(shè)備來(lái)保障。因此，對(duì)七層協(xié)議的安全要求自然包括對(duì)網(wǎng)絡(luò)設(shè)備的安全要求。信息安全是與信息系統(tǒng)所實(shí)現(xiàn)的功能密切相關(guān)的，網(wǎng)絡(luò)安全也不例外。

3、網(wǎng)絡(luò)各層協(xié)議的安全與其在每一層所實(shí)現(xiàn)的功能密切相關(guān)。附錄 A 2 關(guān)于網(wǎng)絡(luò)各層協(xié)議主要功能的說(shuō)明，對(duì)物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層、應(yīng)用層等各層的功能進(jìn)行了簡(jiǎn)要描述，是確定網(wǎng)絡(luò)各層安全功能要求的主要依據(jù)。本標(biāo)準(zhǔn)以 GB/T20271-2006 關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)的通用技術(shù)要求為基礎(chǔ)， 圍繞以訪(fǎng)問(wèn)控制為核心的思想進(jìn)行編寫(xiě)， 在對(duì)網(wǎng)絡(luò)安全的組成與相互關(guān)系進(jìn)行簡(jiǎn)要說(shuō)明的基礎(chǔ)上， 第 5 章對(duì)網(wǎng)絡(luò)安全功能基本技術(shù)分別進(jìn)行了說(shuō)明，第 6 章是對(duì)第 5 章網(wǎng)絡(luò)安全功能的分級(jí)分層情況的描述。 在此基礎(chǔ)上，本標(biāo)準(zhǔn)的第 7 章對(duì)網(wǎng)絡(luò)安全技術(shù)的分等級(jí)要求分別從安全功能技術(shù)要求和安全保證技術(shù)要

4、求兩方面進(jìn)行了詳細(xì)說(shuō)明。 在第 7 章的描述中除了引用以前各章的內(nèi)容外，還引用了 GB/T20271-2006中關(guān)于安全保證技術(shù)要求的內(nèi)容。由于 GB/T20271-2006 的安全保證技術(shù)要求， 對(duì)網(wǎng)絡(luò)而言沒(méi)有需要特別說(shuō)明的內(nèi)容， 所以在網(wǎng)絡(luò)基本技術(shù)及其分級(jí)分層的描述中沒(méi)有涉及這方面的內(nèi)容。信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求范圍本標(biāo)準(zhǔn)依據(jù) GB17859-1999的五個(gè)安全保護(hù)等級(jí)的劃分， 根據(jù)網(wǎng)絡(luò)系統(tǒng)在信息系統(tǒng)中的作用，規(guī)定了各個(gè)安全等級(jí)的網(wǎng)絡(luò)系統(tǒng)所需要的基礎(chǔ)安全技術(shù)的要求。本標(biāo)準(zhǔn)適用于按等級(jí)化的要求進(jìn)行的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，對(duì)按等級(jí)化要求進(jìn)行的網(wǎng)絡(luò)系統(tǒng)安全的測(cè)試和管理可參照使用。規(guī)范性引

5、用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件，其隨后的所有修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。 凡是不注日期的引用文件， 其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求術(shù)語(yǔ)、定義和縮略語(yǔ)3.1 術(shù)語(yǔ)和定義GB178591999 確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1.1網(wǎng)絡(luò)安全 networksecurity網(wǎng)絡(luò)環(huán)境下存儲(chǔ)、傳輸和處理的信息的保密性、完整性和可用性的表征

6、。3.1.2網(wǎng)絡(luò)安全基礎(chǔ)技術(shù) basistechnologyofnetworksecurity 實(shí)現(xiàn)各種類(lèi)型的網(wǎng)絡(luò)系統(tǒng)安全需要的所有基礎(chǔ)性安全技術(shù)。3.1.3網(wǎng)絡(luò)安全子系統(tǒng) securitysubsystemofnetwork網(wǎng)絡(luò)中安全保護(hù)裝置的總稱(chēng)，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的網(wǎng)絡(luò)安全保護(hù)環(huán)境，并提供安全網(wǎng)絡(luò)所要求的附加用戶(hù)服務(wù)。注：按照 GB17859-1999對(duì) TCB（可信計(jì)算基）的定義， SSON（網(wǎng)絡(luò)安全子系統(tǒng)）就是網(wǎng)絡(luò)的 TCB。3.1.4SSON安全策略 SS0Nsecuritypolicy對(duì) SS0N中的資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則

7、。一個(gè) SSON中可以有一個(gè)或多個(gè)安全策略。3.1.5安全功能策略 securityfunctionpolicy為實(shí)現(xiàn) SSON安全要素要求的功能所采用的安全策略。3.1.6安全要素 securityelement本標(biāo)準(zhǔn)中各安全保護(hù)等級(jí)的安全技術(shù)要求所包含的安全內(nèi)容的組成成份。3.1.7SSON安全功能 SSONsecurityfunction正確實(shí)施 SSON安全策略的全部硬件、 固件、軟件所提供的功能。每一個(gè)安全策略的實(shí)現(xiàn)，組成一個(gè) SSON安全功能模塊。一個(gè) SSON的所有安全功能模塊共同組成該 SSON的安全功能。3.1.8SSF控制范圍 SSFscopeofcontrolSSON的操

8、作所涉及的主體和客體的范圍。3.2 縮略語(yǔ)下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)：SFP安全功能策略 securityfunctionpolicySSCSSF控制范圍 SSFscopeofcontrolSSFSSON安全功能 SSONsecurityfunctionSSPSSON安全策略 SS0NsecuritypolicySSON網(wǎng)絡(luò)安全子系統(tǒng)securitysubsystemofnetwork網(wǎng)絡(luò)安全組成與相互關(guān)系根據(jù) OSI 參考模型和 GB17859-1999所規(guī)定的安全保護(hù)等級(jí)和安全要素， 網(wǎng)絡(luò)安全的組成與相互關(guān)系如表 1 所示。對(duì)于網(wǎng)絡(luò)系統(tǒng)的物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層和應(yīng)用層，

9、可分別按 GB17859-1999的各個(gè)安全等級(jí)的要求進(jìn)行設(shè)計(jì)。在各協(xié)議層中，安全要素的實(shí)現(xiàn)方法可有所不同。本標(biāo)準(zhǔn)基于各項(xiàng)安全要素對(duì)各協(xié)議層在各個(gè)安全保護(hù)等級(jí)中應(yīng)采用的安全技術(shù)和機(jī)制提出要求。網(wǎng)絡(luò)安全功能基本要求5.1 身份鑒別5.1.1 用戶(hù)標(biāo)識(shí)基本標(biāo)識(shí)：應(yīng)在 SSF實(shí)施所要求的動(dòng)作之前，先對(duì)提出該動(dòng)作要求的用戶(hù)進(jìn)行標(biāo)識(shí)。唯一性標(biāo)識(shí)：應(yīng)確保所標(biāo)識(shí)用戶(hù)在信息系統(tǒng)生存周期內(nèi)的唯一性，并將用戶(hù)標(biāo)識(shí)與安全審計(jì)相關(guān)聯(lián)。標(biāo)識(shí)信息管理：應(yīng)對(duì)用戶(hù)標(biāo)識(shí)信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)地訪(fǎng)問(wèn)、修改或刪除。5.1.2 用戶(hù)鑒別基本鑒別：應(yīng)在 SSF實(shí)施所要求的動(dòng)作之前，先對(duì)提出該動(dòng)作要求的用戶(hù)成功地進(jìn)行鑒別。

10、不可偽造鑒別：應(yīng)檢測(cè)并防止使用偽造或復(fù)制的鑒別數(shù)據(jù)。一方面，要求 SSF應(yīng)檢測(cè)或防止由任何別的用戶(hù)偽造的鑒別數(shù)據(jù)， 另一方面，要求 SSF應(yīng)檢測(cè)或防止當(dāng)前用戶(hù)從任何其它用戶(hù)處復(fù)制的鑒別數(shù)據(jù)的使用；c) 一次性使用鑒別：應(yīng)能提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制，即 SSF應(yīng)防止與已標(biāo)識(shí)過(guò)的鑒別機(jī)制有關(guān)的鑒別數(shù)據(jù)的重用；d) 多機(jī)制鑒別：應(yīng)能提供不同的鑒別機(jī)制，用于鑒別特定事件的用戶(hù)身份，并且 SSF應(yīng)根據(jù)所描述的多種鑒別機(jī)制如何提供鑒別的規(guī)則，來(lái)鑒別任何用戶(hù)所聲稱(chēng)的身份；e) 重新鑒別：應(yīng)有能力規(guī)定需要重新鑒別用戶(hù)的事件，即 SSF應(yīng)在需要重鑒別的條件表所指示的條件下，重新鑒別用戶(hù)。例如，用戶(hù)終

11、端操作超時(shí)被斷開(kāi)后，重新連接時(shí)需要進(jìn)行重鑒別。5.1.3 用戶(hù) - 主體綁定在 SSON安全功能控制范圍之內(nèi)， 對(duì)一個(gè)已標(biāo)識(shí)和鑒別的用戶(hù)， 為了要求 SSF完成某個(gè)任務(wù)，需要激活另一個(gè)主體（如進(jìn)程），這時(shí)，要求通過(guò)用戶(hù) - 主體綁定將該用戶(hù)與該主體相關(guān)聯(lián)，從而將用戶(hù)的身份與該用戶(hù)的所有可審計(jì)行為相關(guān)聯(lián)。5.1.4 鑒別失敗處理要求 SSF為不成功的鑒別嘗試次數(shù)（包括嘗試數(shù)目和時(shí)間的閾值）定義一個(gè)值，以及明確規(guī)定達(dá)到該值時(shí)所應(yīng)采取的動(dòng)作。 鑒別失敗的處理應(yīng)包括檢測(cè)出現(xiàn)相關(guān)的不成功鑒別嘗試的次數(shù)與所規(guī)定的數(shù)目相同的情況，并進(jìn)行預(yù)先定義的處理。5.2 自主訪(fǎng)問(wèn)控制5.2.1 訪(fǎng)問(wèn)控制策略SSF應(yīng)按確

12、定的自主訪(fǎng)問(wèn)控制安全策略進(jìn)行設(shè)計(jì)，實(shí)現(xiàn)對(duì)策略控制下的主體與客體間操作的控制?？梢杂卸鄠€(gè)自主訪(fǎng)問(wèn)控制安全策略，但它們必須獨(dú)立命名，且不能相互沖突。常用的自主訪(fǎng)問(wèn)控制策略包括：訪(fǎng)問(wèn)控制表訪(fǎng)問(wèn)控制、目錄表訪(fǎng)問(wèn)控制、權(quán)能表訪(fǎng)問(wèn)控制等。5.2.2 訪(fǎng)問(wèn)控制功能SSF應(yīng)明確指出采用一條命名的訪(fǎng)問(wèn)控制策略所實(shí)現(xiàn)的特定功能，說(shuō)明策略的使用和特征，以及該策略的控制范圍。無(wú)論采用何種自主訪(fǎng)問(wèn)控制策略，SSF應(yīng)有能力提供：在安全屬性或命名的安全屬性組的客體上，執(zhí)行訪(fǎng)問(wèn)控制SFP；在基于安全屬性的允許主體對(duì)客體訪(fǎng)問(wèn)的規(guī)則的基礎(chǔ)上，允許主體對(duì)客體的訪(fǎng)問(wèn)；在基于安全屬性的拒絕主體對(duì)客體訪(fǎng)問(wèn)的規(guī)則的基礎(chǔ)上，拒絕主體對(duì)客體的

13、訪(fǎng)問(wèn)。5.2.3 訪(fǎng)問(wèn)控制范圍網(wǎng)絡(luò)系統(tǒng)中自主訪(fǎng)問(wèn)控制的覆蓋范圍分為：a）子集訪(fǎng)問(wèn)控制：要求每個(gè)確定的自主訪(fǎng)問(wèn)控制， SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所定義的主體、客體及其之間的操作；b）完全訪(fǎng)問(wèn)控制：要求每個(gè)確定的自主訪(fǎng)問(wèn)控制， SSF應(yīng)覆蓋網(wǎng)絡(luò)系統(tǒng)中所有的主體、客體及其之間的操作， 即要求 SSF應(yīng)確保 SSC內(nèi)的任意一個(gè)主體和任意一個(gè)客體之間的所有操作將至少被一個(gè)確定的訪(fǎng)問(wèn)控制 SFP覆蓋。5.2.4 訪(fǎng)問(wèn)控制粒度網(wǎng)絡(luò)系統(tǒng)中自主訪(fǎng)問(wèn)控制的粒度分為：a）粗粒度：主體為用戶(hù)組/ 用戶(hù)級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；b）中粒度：主體為用戶(hù)級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)和/ 或記錄、字段級(jí)；c）細(xì)粒度：主體為用戶(hù)級(jí)

14、，客體為文件、數(shù)據(jù)庫(kù)表級(jí)和/ 或記錄、字段級(jí)或元素級(jí)。5.3 標(biāo)記5.3.1 主體標(biāo)記應(yīng)為實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的主體指定敏感標(biāo)記，這些敏感標(biāo)記是實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的依據(jù)。如：等級(jí)分類(lèi)和非等級(jí)類(lèi)別組合的敏感標(biāo)記是實(shí)施多級(jí)安全模型的基礎(chǔ)。5.3.2 客體標(biāo)記應(yīng)為實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的客體指定敏感標(biāo)記，這些敏感標(biāo)記是實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制的依據(jù)。如：等級(jí)分類(lèi)和非等級(jí)類(lèi)別組合的敏感標(biāo)記是實(shí)施多級(jí)安全模型的基礎(chǔ)。5.3.3 標(biāo)記完整性敏感標(biāo)記應(yīng)能準(zhǔn)確地表示特定主體或客體的訪(fǎng)問(wèn)控制屬性， 主體和客體應(yīng)以此發(fā)生關(guān)聯(lián)。當(dāng)數(shù)據(jù)從 SSON輸出時(shí)，根據(jù)需要，敏感標(biāo)記應(yīng)能準(zhǔn)確地和明確地表示輸出數(shù)據(jù)的內(nèi)部標(biāo)記，并與輸出的數(shù)據(jù)相關(guān)聯(lián)。

15、5.3.4 有標(biāo)記信息的輸出SSON應(yīng)對(duì)每個(gè)通信信道和 I/O 設(shè)備標(biāo)明單級(jí)或多級(jí)。這個(gè)標(biāo)志的任何變化都應(yīng)由授權(quán)用戶(hù)實(shí)現(xiàn)，并可由 SSON審計(jì)。 SSON應(yīng)維持并且能夠?qū)Π踩Ｗo(hù)等級(jí)的任何變化進(jìn)行審定，或?qū)εc通信信道或 I/O 設(shè)備有關(guān)的安全保護(hù)等級(jí)進(jìn)行安全審計(jì)。a) 向多級(jí)安全設(shè)備的輸出： 當(dāng) SSON將一客體信息輸出到一個(gè)具有多級(jí)安全的 I/O 設(shè)備時(shí)，與該客體有關(guān)的敏感標(biāo)記也應(yīng)輸出， 并以與輸出信息相同的形式 ( 如機(jī)器可讀或人可讀形式 ) 駐留在同一物理媒體上。當(dāng) SSON在多級(jí)通信信道上輸出或輸入一客體信息時(shí)， 該信道使用的協(xié)議應(yīng)在敏感標(biāo)記和被發(fā)送或被接收的有關(guān)信息之間提供明確的配對(duì)

16、關(guān)系；向單級(jí)安全設(shè)備的輸出：?jiǎn)渭?jí) I/O 設(shè)備和單級(jí)通信信道不需要維持其處理信息的敏感標(biāo)記，但 SSON應(yīng)包含一種機(jī)制， 使 SSON與一個(gè)授權(quán)用戶(hù)能可靠地實(shí)現(xiàn)指定的安全級(jí)的信息通信。這種信息經(jīng)由單級(jí)通信信道或 I/O 設(shè)備輸入 / 輸出；人可讀標(biāo)記的輸出： SSON應(yīng)標(biāo)記所有人可讀的、編頁(yè)的、具有人可讀的敏感標(biāo)記的硬拷貝輸出 ( 如行打印機(jī)輸出 ) 的開(kāi)始和結(jié)束，以適當(dāng)?shù)乇硎据敵雒舾行浴?SSON應(yīng)按默認(rèn)值標(biāo)記人可讀的、編頁(yè)的、具有人可讀的敏感標(biāo)記的硬拷貝輸出 ( 如行打印機(jī)輸出 ) 每頁(yè)的頂部和底部，以適當(dāng)?shù)乇硎驹撦敵隹偟拿舾行?，或表示該?yè)信息的敏感性。 SSON應(yīng)該按默認(rèn)值，并以一種適當(dāng)

17、方法標(biāo)記具有人可讀的敏感標(biāo)記的其他形式的人可讀的輸出 ( 如圖形 ) ，以適當(dāng)?shù)乇硎驹撦敵龅拿舾行?。這些標(biāo)記默認(rèn)值的任何濫用都應(yīng)由 SSON審計(jì)。5.4 強(qiáng)制訪(fǎng)問(wèn)控制5.4.1 訪(fǎng)問(wèn)控制策略網(wǎng)絡(luò)強(qiáng)制訪(fǎng)問(wèn)控制策略應(yīng)包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€(gè)訪(fǎng)問(wèn)控制安全策略，但它們必須獨(dú)立命名，且不能相互沖突。當(dāng)前常見(jiàn)的強(qiáng)制訪(fǎng)問(wèn)控制策略有：a) 多級(jí)安全模型：基本思想是，在對(duì)主、客體進(jìn)行標(biāo)記的基礎(chǔ)上， SSOIS控制范圍內(nèi)的所有主體對(duì)客體的直接或間接的訪(fǎng)問(wèn)應(yīng)滿(mǎn)足：向下讀原則：僅當(dāng)主體標(biāo)記中的等級(jí)分類(lèi)高于或等于客體標(biāo)記中的等級(jí)分類(lèi)，且主體標(biāo)記中的非等級(jí)類(lèi)別包含了

18、客體標(biāo)記中的全部非等級(jí)類(lèi)別，主體才能讀該客體；向上寫(xiě)原則：僅當(dāng)主體標(biāo)記中的等級(jí)分類(lèi)低于或等于客體標(biāo)記中的等級(jí)分類(lèi)，且主體標(biāo)記中的非等級(jí)類(lèi)別包含于客體標(biāo)記中的非等級(jí)類(lèi)別，主體才能寫(xiě)該客體；基于角色的訪(fǎng)問(wèn)控制（ BRAC）：基本思想是，按角色進(jìn)行權(quán)限的分配和管理；通過(guò)對(duì)主體進(jìn)行角色授予，使主體獲得相應(yīng)角色的權(quán)限；通過(guò)撤消主體的角色授予，取消主體所獲得的相應(yīng)角色權(quán)限。在基于角色的訪(fǎng)問(wèn)控制中，標(biāo)記信息是對(duì)主體的授權(quán)信息；特權(quán)用戶(hù)管理：基本思想是，針對(duì)特權(quán)用戶(hù)權(quán)限過(guò)于集中所帶來(lái)的安全隱患，對(duì)特權(quán)用戶(hù)按最小授權(quán)原則進(jìn)行管理。 實(shí)現(xiàn)特權(quán)用戶(hù)的權(quán)限分離； 僅授予特權(quán)用戶(hù)為完成自身任務(wù)所需要的最小權(quán)限。5.4.

19、2 訪(fǎng)問(wèn)控制功能SSF應(yīng)明確指出采用一條命名的強(qiáng)制訪(fǎng)問(wèn)控制策略所實(shí)現(xiàn)的特定功能。SSF應(yīng)有能力提供：在標(biāo)記或命名的標(biāo)記組的客體上，執(zhí)行訪(fǎng)問(wèn)控制SFP；按受控主體和受控客體之間的允許訪(fǎng)問(wèn)規(guī)則，決定允許受控主體對(duì)受控客體執(zhí)行受控操作；按受控主體和受控客體之間的拒絕訪(fǎng)問(wèn)規(guī)則，決定拒絕受控主體對(duì)受控客體執(zhí)行受控操作。5.4.3 訪(fǎng)問(wèn)控制范圍網(wǎng)絡(luò)強(qiáng)制訪(fǎng)問(wèn)控制的覆蓋范圍分為：子集訪(fǎng)問(wèn)控制：對(duì)每個(gè)確定的強(qiáng)制訪(fǎng)問(wèn)控制， SSF應(yīng)覆蓋信息系統(tǒng)中由安全功能所定義的主體、客體及其之間的操作；完全訪(fǎng)問(wèn)控制：對(duì)每個(gè)確定的強(qiáng)制訪(fǎng)問(wèn)控制， SSF應(yīng)覆蓋信息系統(tǒng)中所有的主體、客體及其之間的操作， 即要求 SSF應(yīng)確保 SSC

20、內(nèi)的任意一個(gè)主體和任意一個(gè)客體之間的操作將至少被一個(gè)確定的訪(fǎng)問(wèn)控制 SFP覆蓋。5.4.4 訪(fǎng)問(wèn)控制粒度網(wǎng)絡(luò)強(qiáng)制訪(fǎng)問(wèn)控制的粒度分為：a）中粒度：主體為用戶(hù)級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)和/ 或記錄、字段級(jí)；b）細(xì)粒度：主體為用戶(hù)級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)和/ 或記錄、字段級(jí)和/ 或元素級(jí)。5.4.5 訪(fǎng)問(wèn)控制環(huán)境單一安全域環(huán)境：在單一安全域環(huán)境實(shí)施的強(qiáng)制訪(fǎng)問(wèn)控制應(yīng)在該環(huán)境中維持統(tǒng)一的標(biāo)記信息和訪(fǎng)問(wèn)規(guī)則。當(dāng)被控客體輸出到安全域以外時(shí)，應(yīng)將其標(biāo)記信息同時(shí)輸出；多安全域環(huán)境：在多安全域環(huán)境實(shí)施統(tǒng)一安全策略的強(qiáng)制訪(fǎng)問(wèn)控制時(shí)，應(yīng)在這些安全域中維持統(tǒng)一的標(biāo)記信息和訪(fǎng)問(wèn)規(guī)則。 當(dāng)被控制客體在這些安全域之間移動(dòng)時(shí)

21、， 應(yīng)將其標(biāo)記信息一起移動(dòng)。5.5 數(shù)據(jù)流控制對(duì)網(wǎng)絡(luò)中以數(shù)據(jù)流方式實(shí)現(xiàn)數(shù)據(jù)流動(dòng)的情況，應(yīng)采用數(shù)據(jù)流控制機(jī)制實(shí)現(xiàn)對(duì)數(shù)據(jù)流動(dòng)的控制，以防止具有高等級(jí)安全的數(shù)據(jù)信息向低等級(jí)的區(qū)域流動(dòng)。5.6 安全審計(jì)5.6.1 安全審計(jì)的響應(yīng)安全審計(jì) SSF應(yīng)按以下要求響應(yīng)審計(jì)事件：記審計(jì)日志：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，將審計(jì)數(shù)據(jù)記入審計(jì)日志；實(shí)時(shí)報(bào)警生成：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，生成實(shí)時(shí)報(bào)警信息；違例進(jìn)程終止：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，將違例進(jìn)程終止；服務(wù)取消：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，取消當(dāng)前的服務(wù)；用戶(hù)賬號(hào)斷開(kāi)與失效：當(dāng)檢測(cè)到可能有安全侵害事件時(shí)，將當(dāng)前的用戶(hù)賬號(hào)斷開(kāi)，并使其失效。5.6.2

22、 安全審計(jì)數(shù)據(jù)產(chǎn)生SSF應(yīng)按以下要求產(chǎn)生審計(jì)數(shù)據(jù)：為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：審計(jì)功能的啟動(dòng)和關(guān)閉；使用身份鑒別機(jī)制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；系統(tǒng)管理員、系統(tǒng)安全員、審計(jì)員和一般操作員所實(shí)施的操作；其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT(mén)定義的可審計(jì)事件；對(duì)于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功，及其他與審計(jì)相關(guān)的信息；對(duì)于身份鑒別事件，審計(jì)記錄應(yīng)包含請(qǐng)求的來(lái)源（例如：終端標(biāo)識(shí)符）；對(duì)于客體被引入用戶(hù)地址空間的事件及刪除客體事件，審計(jì)記錄應(yīng)包含客體名及客體的安全保護(hù)等級(jí)；將每個(gè)可審計(jì)事件與引起該事件的用戶(hù)相關(guān)聯(lián)。5.6.3

23、 安全審計(jì)分析安全審計(jì)分析應(yīng)包括：a) 潛在侵害分析：應(yīng)能用一系列規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)這些規(guī)則指出 SSP的潛在侵害。這些規(guī)則包括：由已定義的可審計(jì)事件的子集所指示的潛在安全攻擊的積累或組合；任何其他的規(guī)則；基于異常檢測(cè)的描述：應(yīng)維護(hù)用戶(hù)所具有的質(zhì)疑等級(jí)歷史使用情況，以表明該用戶(hù)的現(xiàn)行活動(dòng)與已建立的使用模式的一致性程度。當(dāng)用戶(hù)的質(zhì)疑等級(jí)超過(guò)門(mén)限條件時(shí)， SSF 應(yīng)能指出將要發(fā)生對(duì)安全性的威脅；簡(jiǎn)單攻擊探測(cè)：應(yīng)能檢測(cè)到對(duì) SSF實(shí)施有重大威脅的簽名事件的出現(xiàn)。為此， SSF應(yīng)維護(hù)指出對(duì) SSF侵害的簽名事件的內(nèi)部表示， 并將檢測(cè)到的系統(tǒng)行為記錄與簽名事件進(jìn)行比較，當(dāng)發(fā)現(xiàn)兩者匹配時(shí)，指出一個(gè)

24、對(duì) SSF的攻擊即將到來(lái)；d) 復(fù)雜攻擊探測(cè)：在上述簡(jiǎn)單攻擊探測(cè)的基礎(chǔ)上，要求 SSF應(yīng)能檢測(cè)到多步入侵情況，并能根據(jù)已知的事件序列模擬出完整的入侵情況， 還應(yīng)指出發(fā)現(xiàn)對(duì) SSF的潛在侵害的簽名事件或事件序列的時(shí)間。5.6.4 安全審計(jì)查閱安全審計(jì)查閱工具應(yīng)具有：a) 審計(jì)查閱：提供從審計(jì)記錄中讀取信息的能力，即要求SSF為授權(quán)用戶(hù)提供獲得和解釋審計(jì)信息的能力。當(dāng)用戶(hù)是人時(shí)，必須以人類(lèi)可懂的方式表示信息；當(dāng)用戶(hù)是外部IT實(shí)體時(shí)，必須以電子方式無(wú)歧義地表示審計(jì)信息；有限審計(jì)查閱：在上述審計(jì)查閱的基礎(chǔ)上，審計(jì)查閱工具應(yīng)禁止具有讀訪(fǎng)問(wèn)權(quán)限以外的用戶(hù)讀取審計(jì)信息；可選審計(jì)查閱：在上述有限審計(jì)查閱的基礎(chǔ)

25、上，審計(jì)查閱工具應(yīng)具有根據(jù)準(zhǔn)則來(lái)選擇要查閱的審計(jì)數(shù)據(jù)的功能，并根據(jù)某種邏輯關(guān)系的標(biāo)準(zhǔn)提供對(duì)審計(jì)數(shù)據(jù)進(jìn)行搜索、分類(lèi)、排序的能力。5.6.5 安全審計(jì)事件選擇應(yīng)根據(jù)以下屬性選擇可審計(jì)事件：客體身份、用戶(hù)身份、主體身份、主機(jī)身份、事件類(lèi)型；作為審計(jì)選擇性依據(jù)的附加屬性。5.6.6 安全審計(jì)事件存儲(chǔ)應(yīng)具有以下創(chuàng)建并維護(hù)安全的審計(jì)蹤跡記錄的能力：受保護(hù)的審計(jì)蹤跡存儲(chǔ)：要求審計(jì)蹤跡的存儲(chǔ)受到應(yīng)有的保護(hù)，能檢測(cè)或防止對(duì)審計(jì)記錄的修改；審計(jì)數(shù)據(jù)的可用性確保：要求在意外情況出現(xiàn)時(shí)，能檢測(cè)或防止對(duì)審計(jì)記錄的修改，以及在發(fā)生審計(jì)存儲(chǔ)已滿(mǎn)、存儲(chǔ)失敗或存儲(chǔ)受到攻擊時(shí)，確保審計(jì)記錄不被破壞；審計(jì)數(shù)據(jù)可能丟失情況下的措施：

26、要求當(dāng)審計(jì)跟蹤超過(guò)預(yù)定的門(mén)限時(shí)，應(yīng)采取相應(yīng)的措施，進(jìn)行審計(jì)數(shù)據(jù)可能丟失情況的處理；防止審計(jì)數(shù)據(jù)丟失：要求在審計(jì)蹤跡存儲(chǔ)記滿(mǎn)時(shí)，應(yīng)采取相應(yīng)的防止審計(jì)數(shù)據(jù)丟失的措施，可選擇“忽略可審計(jì)事件”、 “阻止除具有特殊權(quán)限外的其他用戶(hù)產(chǎn)生可審計(jì)事件”、“覆蓋已存儲(chǔ)的最老的審計(jì)記錄”和“一旦審計(jì)存儲(chǔ)失敗所采取的其它行動(dòng)”等措施，防止審計(jì)數(shù)據(jù)丟失。5.7 用戶(hù)數(shù)據(jù)完整性5.7.1 存儲(chǔ)數(shù)據(jù)的完整性應(yīng)對(duì)存儲(chǔ)在 SSC內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行完整性保護(hù)，包括：完整性檢測(cè)：要求 SSF應(yīng)對(duì)基于用戶(hù)屬性的所有客體，對(duì)存儲(chǔ)在 SSC內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行完整性檢測(cè)；完整性檢測(cè)和恢復(fù)：要求 SSF應(yīng)對(duì)基于用戶(hù)屬性的所有客體，對(duì)存儲(chǔ)在

27、SSC內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行完整性檢測(cè) , 并且當(dāng)檢測(cè)到完整性錯(cuò)誤時(shí)， SSF應(yīng)采取必要的 SSF應(yīng)采取必要的恢復(fù)、審計(jì)或報(bào)警措施。5.7.2 傳輸數(shù)據(jù)的完整性當(dāng)用戶(hù)數(shù)據(jù)在 SSF和其它可信 IT 系統(tǒng)間傳輸時(shí)應(yīng)提供完整性保護(hù)，包括：完整性檢測(cè)：要求對(duì)被傳輸?shù)挠脩?hù)數(shù)據(jù)進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)以某種方式傳送或接收的用戶(hù)數(shù)據(jù)被篡改、刪除、插入等情況發(fā)生；數(shù)據(jù)交換恢復(fù)： 由接收者 SSON借助于源可信 IT 系統(tǒng)提供的信息， 或由接收者 SSON自己無(wú)須來(lái)自源可信 IT 系統(tǒng)的任何幫助，能恢復(fù)被破壞的數(shù)據(jù)為原始的用戶(hù)數(shù)據(jù)。若沒(méi)有可恢復(fù)條件，應(yīng)向源可信 IT 系統(tǒng)提供反饋信息。5.7.3 處理數(shù)據(jù)的完整性回退：對(duì)

28、信息系統(tǒng)中處理中的數(shù)據(jù)，應(yīng)通過(guò)“回退”進(jìn)行完整性保護(hù)，即要求 SSF應(yīng)執(zhí)行訪(fǎng)問(wèn)控制 SFP，以允許對(duì)所定義的操作序列進(jìn)行回退。5.8 用戶(hù)數(shù)據(jù)保密性5.8.1 存儲(chǔ)數(shù)據(jù)的保密性應(yīng)對(duì)存儲(chǔ)在 SSC內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行保密性保護(hù)。5.8.2 傳輸數(shù)據(jù)的保密性應(yīng)對(duì)在 SSC內(nèi)傳輸?shù)挠脩?hù)數(shù)據(jù)進(jìn)行保密性保護(hù)。5.8.3 客體安全重用在對(duì)資源進(jìn)行動(dòng)態(tài)管理的系統(tǒng)中，客體資源（寄存器、內(nèi)存、磁盤(pán)等記錄介質(zhì)）中的剩余信息不應(yīng)引起信息的泄露?？腕w安全重用分為：子集信息保護(hù)： 要求對(duì) SSON安全控制范圍之內(nèi)的某個(gè)子集的客體資源， 在將其分配給某一用戶(hù)或代表該用戶(hù)運(yùn)行的進(jìn)程時(shí)，應(yīng)不會(huì)泄露該客體中的原有信息；完全信息保護(hù)

29、： 要求對(duì) SSON安全控制范圍之內(nèi)的所有客體資源， 在將其分配給某一用戶(hù)或代表該用戶(hù)運(yùn)行的進(jìn)程時(shí)，應(yīng)不會(huì)泄露該客體中的原有信息；特殊信息保護(hù)：對(duì)于某些需要特別保護(hù)的信息，應(yīng)采用專(zhuān)門(mén)的方法對(duì)客體資源中的殘留信息做徹底清除，如對(duì)剩磁的清除等。5.9 可信路徑用戶(hù)與 SSF間的可信路徑應(yīng)：提供真實(shí)的端點(diǎn)標(biāo)識(shí)，并保護(hù)通信數(shù)據(jù)免遭修改和泄露；利用可信路徑的通信可以由 SSF自身、本地用戶(hù)或遠(yuǎn)程用戶(hù)發(fā)起；對(duì)原發(fā)用戶(hù)的鑒別或需要可信路徑的其它服務(wù)均使用可信路徑。5.10 抗抵賴(lài)5.10.1 抗原發(fā)抵賴(lài)應(yīng)確保信息的發(fā)送者不能否認(rèn)曾經(jīng)發(fā)送過(guò)該信息。這就要求 SSF提供一種方法，來(lái)確保接收信息的主體在數(shù)據(jù)交換期

30、間能獲得證明信息原發(fā)的證據(jù)， 而且該證據(jù)可由該主體或第三方主體驗(yàn)證?？乖l(fā)抵賴(lài)分為：選擇性原發(fā)證明：要求 SSF具有為主體提供請(qǐng)求原發(fā)證據(jù)信息的能力。即 SSF在接到原發(fā)者或接收者的請(qǐng)求時(shí)， 能就傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)， 證明該信息的發(fā)送由該原發(fā)者所為；強(qiáng)制性原發(fā)證明：要求 SSF在任何時(shí)候都能對(duì)傳輸?shù)男畔a(chǎn)生原發(fā)證據(jù)。即 SSF在任何時(shí)候都能就傳輸?shù)男畔?qiáng)制產(chǎn)生原發(fā)證據(jù)，證明該信息的發(fā)送由該原發(fā)者所為。5.10.2 抗接收抵賴(lài)應(yīng)確保信息的接收者不能否認(rèn)接受過(guò)該信息。這就要求 SSF提供一種方法，來(lái)確保發(fā)送信息的主體在數(shù)據(jù)交換期間能獲得證明該信息被接收的證據(jù)， 而且該證據(jù)可由該主體或第三方主體

31、驗(yàn)證?？菇邮盏仲?lài)分為：選擇性接收證明：要求 SSF具有為主體提供請(qǐng)求信息接收證據(jù)的能力。即 SSF在接到原發(fā)者或接收者的請(qǐng)求時(shí)， 能就接收到的信息產(chǎn)生接收證據(jù)， 證明該信息的接收由該接收者所為；強(qiáng)制性接收證明：要求 SSF總是對(duì)收到的信息產(chǎn)生接收證據(jù)。即 SSF能在任何時(shí)候?qū)κ盏降男畔?qiáng)制產(chǎn)生接收證據(jù)，證明該信息的接收由該接收者所為。5.11 網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)安全監(jiān)控應(yīng)采用以下安全技術(shù)和機(jī)制：網(wǎng)絡(luò)安全探測(cè)機(jī)制：在組成網(wǎng)絡(luò)系統(tǒng)的各個(gè)重要部位，設(shè)置探測(cè)器，實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，監(jiān)視和記錄內(nèi)、外部用戶(hù)出入網(wǎng)絡(luò)的相關(guān)操作，在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪(fǎng)問(wèn)時(shí)，報(bào)告網(wǎng)絡(luò)安全監(jiān)控中心；網(wǎng)絡(luò)安全監(jiān)控中心：設(shè)置安全監(jiān)控

32、中心，對(duì)收到的來(lái)自探測(cè)器的信息，根據(jù)安全策略進(jìn)行分析，并作審計(jì)、報(bào)告、事件記錄和報(bào)警等處理。網(wǎng)絡(luò)安全監(jiān)控中心應(yīng)具有必要的遠(yuǎn)程管理功能，如對(duì)探測(cè)器實(shí)現(xiàn)遠(yuǎn)程參數(shù)設(shè)置、遠(yuǎn)程數(shù)據(jù)下載、遠(yuǎn)程啟動(dòng)等操作。網(wǎng)絡(luò)安全監(jiān)控中心還應(yīng)具有實(shí)時(shí)響應(yīng)功能，包括攻擊分析和響應(yīng)、誤操作分析和響應(yīng)、漏洞分析和響應(yīng)等。網(wǎng)絡(luò)安全功能分層分級(jí)要求6.1 身份鑒別功能應(yīng)按照用戶(hù)標(biāo)識(shí)和用戶(hù)鑒別的要求進(jìn)行身份鑒別安全機(jī)制的設(shè)計(jì)。一般以用戶(hù)名和用戶(hù)標(biāo)識(shí)符來(lái)標(biāo)識(shí)一個(gè)用戶(hù)， 應(yīng)確保在一個(gè)信息系統(tǒng)中用戶(hù)名和用戶(hù)標(biāo)識(shí)符的唯一性， 嚴(yán)格的唯一性應(yīng)維持在網(wǎng)絡(luò)系統(tǒng)的整個(gè)生存周期都有效， 即使一個(gè)用戶(hù)的賬戶(hù)已被刪除， 他的用戶(hù)名和標(biāo)識(shí)符也不能再使用，并由

33、此確保用戶(hù)的唯一性和可區(qū)別性。鑒別應(yīng)確保用戶(hù)的真實(shí)性?？梢杂每诹钸M(jìn)行鑒別，更嚴(yán)格的身份鑒別可采用智能 IC 卡密碼技術(shù)，指紋、虹膜等特征信息進(jìn)行身份鑒別，并在每次用戶(hù)登錄系統(tǒng)之前進(jìn)行鑒別?？诹顟?yīng)是不可見(jiàn)的，并在存儲(chǔ)和傳輸時(shí)進(jìn)行保護(hù)。智能 IC 卡身份鑒別應(yīng)以密碼技術(shù)為基礎(chǔ)，并按用戶(hù)鑒別中不可偽造鑒別所描述的要求進(jìn)行設(shè)計(jì)。對(duì)于鑒別失敗的情況，要求按鑒別失敗所描述的要求進(jìn)行處理。用戶(hù)在系統(tǒng)中的行為一般由進(jìn)程代為執(zhí)行，要求按用戶(hù) - 主體綁定所描述的要求，將用戶(hù)與代表該用戶(hù)行為的進(jìn)程相關(guān)聯(lián)。這種關(guān)聯(lián)應(yīng)體現(xiàn)在 SSON安全功能控制范圍之內(nèi)各主、客體之間的相互關(guān)系上。比如，一個(gè)用戶(hù)通過(guò)鍵入一條命令要求訪(fǎng)

34、問(wèn)一個(gè)指定文件，信息系統(tǒng)運(yùn)行某一進(jìn)程實(shí)現(xiàn)這一功能。這時(shí)，該進(jìn)程應(yīng)與該用戶(hù)相關(guān)聯(lián)，于是該進(jìn)程的行為即可看作該用戶(hù)的行為。身份鑒別應(yīng)區(qū)分實(shí)體鑒別和數(shù)據(jù)起源鑒別：當(dāng)身份是由參與通信連接或會(huì)話(huà)的遠(yuǎn)程實(shí)體提交時(shí)叫實(shí)體鑒別， 它可以作為訪(fǎng)問(wèn)控制服務(wù)的一種必要支持； 當(dāng)身份信息是由數(shù)據(jù)項(xiàng)發(fā)送者提交時(shí)叫數(shù)據(jù)起源鑒別， 它是確保部分完整性目標(biāo)的直接方法， 確保知道某個(gè)數(shù)據(jù)項(xiàng)的真正起源。表 2 給出了從用戶(hù)自主保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)身份鑒別功能的分層分級(jí)要求。6.2 自主訪(fǎng)問(wèn)控制功能應(yīng)按照對(duì)訪(fǎng)問(wèn)控制策略的要求，選擇所需的訪(fǎng)問(wèn)控制策略，并按照對(duì)訪(fǎng)問(wèn)控制功能的要求，設(shè)計(jì)和實(shí)現(xiàn)所需要的自主訪(fǎng)問(wèn)控制功能。當(dāng)使用文件、目

35、錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)管理員應(yīng)給文件、目錄等指定訪(fǎng)問(wèn)屬性。訪(fǎng)問(wèn)控制規(guī)則應(yīng)將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備相聯(lián)系。 網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表， 用以表明用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)能力。自主訪(fǎng)問(wèn)控制應(yīng)能控制以下權(quán)限：向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等；為每個(gè)命名客體指定用戶(hù)名和用戶(hù)組，以及規(guī)定他們對(duì)客體的訪(fǎng)問(wèn)模式。表 3 給出了從用戶(hù)自主保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)自主訪(fǎng)問(wèn)控制功能的分層分級(jí)要求。6.3 標(biāo)記功能應(yīng)按照主體標(biāo)記和客體標(biāo)記所描述的要求進(jìn)行標(biāo)記設(shè)計(jì)。在網(wǎng)絡(luò)環(huán)境中，帶有

36、特定標(biāo)記的數(shù)據(jù)應(yīng)能被安全策略禁止通過(guò)某些子網(wǎng)、鏈路或中繼。連接的發(fā)起者 ( 或無(wú)連接數(shù)據(jù)單元的發(fā)送者 ) 可以指定路由選擇說(shuō)明， 請(qǐng)求回避某些特定的子網(wǎng)、鏈路或中繼。包含數(shù)據(jù)項(xiàng)的資源應(yīng)具有與這些數(shù)據(jù)相關(guān)聯(lián)的敏感標(biāo)記。敏感標(biāo)記可能是與被傳送的數(shù)據(jù)相連的附加數(shù)據(jù)， 也可能是隱含的信息， 例如使用一個(gè)特定密鑰加密數(shù)據(jù)所隱含的信息或由該數(shù)據(jù)的上下文所隱含的信息，可由數(shù)據(jù)源或路由來(lái)隱含。明顯的敏感標(biāo)記必須是清晰可辨認(rèn)的，以便對(duì)它們作適當(dāng)?shù)尿?yàn)證。此外，它們還必須安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。對(duì)于在通信期間要移動(dòng)的數(shù)據(jù)項(xiàng)，發(fā)起通信的進(jìn)程與實(shí)體，響應(yīng)通信的進(jìn)程與實(shí)體，在通信時(shí)被用到的信道和其他資源等， 都可

37、以用各自的敏感信息來(lái)標(biāo)記。 安全策略應(yīng)指明如何使用敏感信息以提供必要的安全性。 當(dāng)安全策略是基于用戶(hù)身份時(shí)， 不論直接或通過(guò)進(jìn)程訪(fǎng)問(wèn)數(shù)據(jù)，敏感標(biāo)記均應(yīng)包含有關(guān)用戶(hù)身份的信息。 用于特定標(biāo)記的那些規(guī)則應(yīng)該表示在安全管理信息庫(kù)中的一個(gè)安全策略中，如果需要，還應(yīng)與端系統(tǒng)協(xié)商。標(biāo)記可以附帶敏感信息，指明其敏感性，說(shuō)明處理與分布上的隱蔽處，強(qiáng)制定時(shí)與定位，以及指明對(duì)該端系統(tǒng)特有的要求。采用的安全策略決定了標(biāo)記所攜帶的敏感信息及其含義，不同的網(wǎng)絡(luò)會(huì)有差異。表 4 給出了從安全標(biāo)記保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)標(biāo)記功能的分層分級(jí)要求。6.4 強(qiáng)制訪(fǎng)問(wèn)控制功能應(yīng)按照強(qiáng)制訪(fǎng)問(wèn)控制功能的要求，選擇所需的訪(fǎng)問(wèn)控制策略，設(shè)

38、計(jì)和實(shí)現(xiàn)所需要的強(qiáng)制訪(fǎng)問(wèn)控制功能。強(qiáng)制訪(fǎng)問(wèn)控制應(yīng)由專(zhuān)門(mén)設(shè)置的系統(tǒng)安全員統(tǒng)一管理系統(tǒng)中與該訪(fǎng)問(wèn)控制有關(guān)的事件和信息。為了防止由于系統(tǒng)管理人員或特權(quán)用戶(hù)的權(quán)限過(guò)于集中所帶來(lái)的安全隱患， 應(yīng)將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計(jì)管理，由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員分別承擔(dān)，并在三者之間形成相互制約的關(guān)系。采用多級(jí)安全模型的強(qiáng)制訪(fǎng)問(wèn)控制應(yīng)將 SSON安全控制范圍內(nèi)的所有主、 客體成分通過(guò)標(biāo)記方式設(shè)置敏感標(biāo)記， 這些敏感標(biāo)記與訪(fǎng)問(wèn)規(guī)則一起確定每一次主體對(duì)客體的訪(fǎng)問(wèn)是否被允許。這里所要求的對(duì)客體的控制范圍除涉及系統(tǒng)內(nèi)部的存儲(chǔ)、處理和傳輸過(guò)程外，還應(yīng)包括將信息進(jìn)行輸入、輸出操作的過(guò)程，即無(wú)論信息以

39、何種形式存在，都應(yīng)有一定的安全屬性與其相關(guān)聯(lián)，并按強(qiáng)制訪(fǎng)問(wèn)控制規(guī)則對(duì)其進(jìn)行控制。第三級(jí)的強(qiáng)制訪(fǎng)問(wèn)控制應(yīng)對(duì) SSON所定義的主體與客體實(shí)施控制。 第四級(jí)以上的強(qiáng)制訪(fǎng)問(wèn)控制應(yīng)擴(kuò)展到信息系統(tǒng)中的所有主體與客體。 表 5 給出了從安全標(biāo)記保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)強(qiáng)制訪(fǎng)問(wèn)控制功能的分層分級(jí)要求。6.5 數(shù)據(jù)流控制功能對(duì)在網(wǎng)絡(luò)中以數(shù)據(jù)流方式進(jìn)行的數(shù)據(jù)交換，應(yīng)按照數(shù)據(jù)流控制的要求進(jìn)行用戶(hù)數(shù)據(jù)保密性保護(hù)設(shè)計(jì)。表 6 給出了從安全標(biāo)記保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)數(shù)據(jù)流控制功能的分層分級(jí)要求。6.6 安全審計(jì)功能應(yīng)按照對(duì)安全審計(jì)的要求進(jìn)行設(shè)計(jì)。按安全審計(jì)數(shù)據(jù)產(chǎn)生的描述產(chǎn)生審計(jì)數(shù)據(jù)；按安全審計(jì)查閱的描述提供審計(jì)查閱、 有

40、限審計(jì)查閱和可選審計(jì)查閱； 按安全審計(jì)事件選擇的描述提供對(duì)審計(jì)事件的選擇；按安全審計(jì)事件存儲(chǔ)中受保護(hù)的審計(jì)蹤跡存儲(chǔ)、審計(jì)數(shù)據(jù)的可用性確保、審計(jì)數(shù)據(jù)可能丟失行動(dòng)和防止審計(jì)事件丟失的要求來(lái)保存審計(jì)事件；按安全審計(jì)分析中的潛在侵害分析、基于異常檢測(cè)的描述以及簡(jiǎn)單攻擊探測(cè)和復(fù)雜攻擊探測(cè)的要求進(jìn)行審計(jì)分析設(shè)計(jì)； 按安全審計(jì)的自動(dòng)響應(yīng)的要求設(shè)計(jì)相應(yīng)的功能。網(wǎng)絡(luò)安全審計(jì)涉及與安全有關(guān)的事件，包括事件的探測(cè)、收集、控制，進(jìn)行事件責(zé)任的追查。審計(jì)中必須包含的信息的典型類(lèi)型包括： 標(biāo)定哪些網(wǎng)段需要有限授權(quán)訪(fǎng)問(wèn)或數(shù)據(jù)加密，哪些設(shè)備、文件和目錄需要加鎖或口令保護(hù)，哪些文件應(yīng)該進(jìn)行存檔備份，執(zhí)行備份程序的頻率，以及網(wǎng)絡(luò)

41、所使用的病毒防護(hù)措施的類(lèi)型等。 安全審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的各種訪(fǎng)問(wèn)情況記錄日志，并對(duì)日志進(jìn)行統(tǒng)計(jì)分析，從而對(duì)資源使用情況進(jìn)行事后分析。審計(jì)也是發(fā)現(xiàn)和追蹤安全事件的常用措施，能夠自動(dòng)記錄攻擊發(fā)起人的 IP 地址及企圖攻擊的時(shí)間，以及攻擊包數(shù)據(jù)，給系統(tǒng)安全管理及追查網(wǎng)絡(luò)犯罪提供可靠的線(xiàn)索。 安全審計(jì)應(yīng)該提供有關(guān)網(wǎng)絡(luò)所使用的緊急事件和災(zāi)難處理程序， 提供準(zhǔn)確的網(wǎng)絡(luò)安全審計(jì)和趨向分析報(bào)告， 支持安全程序的計(jì)劃和評(píng)估。對(duì)于較高安全等級(jí)的安全審計(jì)數(shù)據(jù)，可通過(guò)數(shù)字簽名技術(shù)進(jìn)行保護(hù)，限定審計(jì)數(shù)據(jù)可由審計(jì)員處理，但不可修改。表 7 給出了從系統(tǒng)審計(jì)保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)對(duì)安全審計(jì)功能的分層分級(jí)要求。6.7 用戶(hù)

42、數(shù)據(jù)完整性保護(hù)功能應(yīng)對(duì)系統(tǒng)中存儲(chǔ)、傳輸和處理的用戶(hù)數(shù)據(jù)采取有效措施， 防止其遭受非授權(quán)用戶(hù)的修改、破壞或刪除。對(duì)存儲(chǔ)在系統(tǒng)中的用戶(hù)數(shù)據(jù)的完整性保護(hù)，較低安全要求應(yīng)按照存儲(chǔ)數(shù)據(jù)的完整性保護(hù)中完整性監(jiān)視的要求， 設(shè)計(jì)相應(yīng)的 SSON安全功能模塊， 對(duì) SSON安全控制范圍內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行完整性保護(hù)；較高安全要求應(yīng)通過(guò)密碼支持系統(tǒng)所提供的功能，對(duì)加密存儲(chǔ)的數(shù)據(jù)進(jìn)行存儲(chǔ)數(shù)據(jù)的完整性檢驗(yàn)或采用其它相應(yīng)的安全機(jī)制， 在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。 對(duì)經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)挠脩?hù)數(shù)據(jù)完整性保護(hù)，應(yīng)按照 SSON間通信保護(hù)中用戶(hù)用戶(hù)數(shù)據(jù)保密性和完整性檢測(cè)、 以及源恢復(fù)和目的恢復(fù)的要求設(shè)計(jì)相應(yīng)的 SSON安全功

43、能模塊。對(duì)系統(tǒng)中進(jìn)行處理的數(shù)據(jù)的完整性保護(hù)， 應(yīng)按照回退的要求設(shè)計(jì)相應(yīng)的 SSON安全功能模塊，進(jìn)行異常情況的操作序列回退，以確保數(shù)據(jù)的完整性。表 8 給出了從用戶(hù)自主保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)用戶(hù)數(shù)據(jù)完整性保護(hù)功能的分層分級(jí)要求。6.8 用戶(hù)數(shù)據(jù)保密性保護(hù)功能應(yīng)對(duì)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息采取有效的保護(hù)措施，防止其遭受非授權(quán)的泄露。對(duì)存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)的完整性保護(hù)，較低安全要求應(yīng)按照存儲(chǔ)數(shù)據(jù)的保密性保護(hù)的一般方法，設(shè)計(jì)相應(yīng)的 SSON安全功能模塊， 對(duì) SSON安全控制范圍內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行完整性保護(hù)；較高安全要求應(yīng)通過(guò)密碼支持系統(tǒng)所提供的功能或相應(yīng)安全性的安全機(jī)制所提供的安全功能，對(duì)存儲(chǔ)的數(shù)據(jù)

44、進(jìn)行保密性保護(hù)。對(duì)在系統(tǒng)中傳輸?shù)臄?shù)據(jù)， 較低級(jí)別應(yīng)按照存儲(chǔ)數(shù)據(jù)的保密性保護(hù)的要求， 設(shè)計(jì)相應(yīng)的 SSON 安全功能模塊，對(duì) SSON安全控制范圍內(nèi)的用戶(hù)數(shù)據(jù)進(jìn)行保密性保護(hù)；較高安全要求的系統(tǒng)應(yīng)通過(guò)密碼支持系統(tǒng)所提供的功能或其它相應(yīng)的安全機(jī)制所提供的安全功能， 進(jìn)行嚴(yán)格的保密性保護(hù)。對(duì)系統(tǒng)運(yùn)行中動(dòng)態(tài)管理和分配的資源，應(yīng)采用有效措施，防止其剩余信息引起的信息泄露。表 9 給出了從用戶(hù)自主保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)用戶(hù)數(shù)據(jù)保密性保護(hù)功能的分層分級(jí)要求。6.9 可信路徑功能應(yīng)提供用戶(hù)與 SSON之間安全地進(jìn)行數(shù)據(jù)傳輸?shù)谋ＷC， 要求按用戶(hù)與 SSF間可信路徑所描述的要求進(jìn)行設(shè)計(jì)。表 10 給出結(jié)構(gòu)化保護(hù)級(jí)和

45、訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)可信路徑功能的分層分級(jí)要求。6.10 抗抵賴(lài)功能應(yīng)提供通信雙方身份的真實(shí)性和雙方對(duì)信交換行為的不可抵賴(lài)性。 對(duì)信息的發(fā)送方， SSON 應(yīng)按抗原發(fā)抵賴(lài)中選擇性原發(fā)證明 / 強(qiáng)制性原發(fā)證明的要求進(jìn)行設(shè)計(jì)； 對(duì)信息的接收方， SSON 應(yīng)按抗接收抵賴(lài)中選擇性接收證明 / 強(qiáng)制性接受證明的要求進(jìn)行設(shè)計(jì)。表 11 給出了從安全標(biāo)記保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)抗抵賴(lài)功能的分層分級(jí)要求。6.11 網(wǎng)絡(luò)安全監(jiān)控功能應(yīng)提供對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行進(jìn)行安全監(jiān)控的功能。網(wǎng)絡(luò)安全監(jiān)控機(jī)制通過(guò)在網(wǎng)絡(luò)環(huán)境的各個(gè)關(guān)鍵部位設(shè)置分布式探測(cè)器收集與安全相關(guān)的信息， 并由網(wǎng)絡(luò)安全監(jiān)控中心匯集和分析， 及時(shí)發(fā)現(xiàn)各種違規(guī)行為。表 12

46、 給出了從安全標(biāo)記保護(hù)級(jí)到訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)網(wǎng)絡(luò)安全監(jiān)控功能的分層分級(jí)要求。網(wǎng)絡(luò)安全技術(shù)分級(jí)要求7.1 第一級(jí)：用戶(hù)自主保護(hù)級(jí)7.1.1 第一級(jí)安全功能要求物理層根據(jù)需要，可采用密碼技術(shù)確保所傳送的數(shù)據(jù)受到應(yīng)有的完整性保護(hù)，防止其遭受非授權(quán)的泄露。本安全保護(hù)等級(jí)該層所涉及的用戶(hù)數(shù)據(jù)完整性保護(hù)應(yīng)滿(mǎn)足6.7 和 GB/T鏈路層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：

47、可根據(jù)6.7 的描述，按 GB/T傳輸層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T會(huì)話(huà)層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：可根據(jù)6.2 的描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T表示層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/T自主訪(fǎng)問(wèn)控制：可根據(jù) 6.2 的描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T應(yīng)用層a）身份鑒別：可根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：可根據(jù)6.2 的

48、描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：可根據(jù)6.7 的描述，按 GB/T7.1.2 第一級(jí)安全保證要求SSON自身安全保護(hù)a)SSF 物理安全保護(hù)：按GB/Tb)SSF 運(yùn)行安全保護(hù)：按GB/Tc)SSF 數(shù)據(jù)安全保護(hù)：按GB/T資源利用：按 GB/Te)SSON訪(fǎng)問(wèn)控制：按 GB/TSSON設(shè)計(jì)和實(shí)現(xiàn)配置管理：按 GB/T分發(fā)和操作：按 GB/T開(kāi)發(fā)：按 GB/T文檔要求：按 GB/T生存周期支持：按 GB/T測(cè)試：按 GB/TSSON安全管理按 GB/T7.2 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)7.2.1 第二級(jí)安全功能要求物理層采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其

49、遭受非授權(quán)的泄露或破壞。本安全保護(hù)等級(jí)按 GB/T戶(hù)數(shù)據(jù)完整性保護(hù)應(yīng)滿(mǎn)足6.7 和 GB/T鏈路層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：根據(jù)6.2 的描述，按 GB/Tc）用戶(hù)數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計(jì)：根據(jù)6.6 的描述，按 GB/Td）用戶(hù)數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T傳輸層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb

50、）自主訪(fǎng)問(wèn)控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計(jì)：根據(jù)6.6 的描述，按 GB/Td）用戶(hù)數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T會(huì)話(huà)層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計(jì)：根據(jù)6.6 的描述，按 GB/Td）用戶(hù)數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T表示層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計(jì)：根據(jù)6.6 的描述，按 GB/Td）用

51、戶(hù)數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T應(yīng)用層a）身份鑒別：根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：根據(jù)6.2 的描述，按 GB/Tc）安全審計(jì)：根據(jù)6.6 的描述，按 GB/Td）用戶(hù)數(shù)據(jù)完整性：根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：根據(jù) 6.8 的描述，按 GB/T7.2.2 第二級(jí)安全保證要求SSON自身安全保護(hù)a)SSF 物理安全保護(hù)：按GB/Tb)SSF 運(yùn)行安全保護(hù)：按GB/Tc)SSF 數(shù)據(jù)安全保護(hù)：按GB/T資源利用：按 GB/T e)SSON訪(fǎng)問(wèn)控制：按 GB/T SSON設(shè)計(jì)和實(shí)現(xiàn)配置管理：按 GB

52、/T分發(fā)和操作：按 GB/T開(kāi)發(fā)：按 GB/T文檔要求：按 GB/T生存周期支持：按 GB/T測(cè)試：按 GB/TSSON安全管理按 GB/T7.3 第三級(jí)：安全標(biāo)記保護(hù)級(jí)7.3.1 第三級(jí)安全功能要求物理層應(yīng)采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其遭受非授權(quán)的泄露或破壞。本安全保護(hù)等級(jí)應(yīng)按 GB/T的用戶(hù)數(shù)據(jù)完整性保護(hù)應(yīng)滿(mǎn)足6.7 和 GB/T鏈路層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控

53、制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù) 6.8 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴(lài)：應(yīng)根據(jù)6.10 的描

54、述，按 GB/T傳輸層a）身份鑒別：應(yīng)根據(jù)6.1 條的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴(lài)：應(yīng)根據(jù)6.10 的描述，按 GB/T會(huì)話(huà)層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)

55、記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴(lài)：應(yīng)根據(jù)6.10 的描述，按 GB/Tj ）網(wǎng)絡(luò)安全監(jiān)控：應(yīng)根據(jù)6.11 的描述，按 GB/T表示層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 條的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4

56、的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù) 6.8 的描述，按 GB/T抗抵賴(lài)：應(yīng)根據(jù) 6.10 的描述，按 GB/Tj ）網(wǎng)絡(luò)安全監(jiān)控：應(yīng)根據(jù)6.11 的描述，按 GB/T應(yīng)用層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T操作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）

57、安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）抗抵賴(lài)：應(yīng)根據(jù)6.10 的描述，按 GB/Tj ）網(wǎng)絡(luò)安全監(jiān)控：應(yīng)根據(jù)6.11 的描述，按 GB/T7.3.2 第三級(jí)安全保證要求SSON自身安全保護(hù)a)SSF 物理安全保護(hù)：應(yīng)按GB/Tb)SSF 運(yùn)行安全保護(hù)：應(yīng)按GB/Tc)SSF 數(shù)據(jù)安全保護(hù)：應(yīng)按GB/T資源利用：應(yīng)按 GB/Te)SSON訪(fǎng)問(wèn)控制：應(yīng)按GB/TSSON設(shè)計(jì)和實(shí)現(xiàn)配置管理：應(yīng)按 GB/T分發(fā)和操作：應(yīng)按 GB/T開(kāi)發(fā)：應(yīng)按 GB/T文檔要求：應(yīng)按 GB/T生存周

58、期支持：應(yīng)按 GB/T測(cè)試：應(yīng)按 GB/T脆弱性評(píng)定：應(yīng)按 GB/T SSON安全管理應(yīng)按 GB/T7.4 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)7.4.1 第四級(jí)安全功能要求物理層應(yīng)采用加密數(shù)據(jù)流的方法確保所傳送的數(shù)據(jù)受到應(yīng)有的保密性和完整性保護(hù)，防止其遭受非授權(quán)的泄露或破壞。本安全保護(hù)等級(jí)應(yīng)按 GB/T及的用戶(hù)數(shù)據(jù)完整性保護(hù)應(yīng)滿(mǎn)足6.7 和 GB/T鏈路層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/T實(shí)體鑒別；b）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 G

59、B/Tf ）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/T用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù) 6.8 的描述，按 GB/T網(wǎng)絡(luò)層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T作；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 條的描述，按 GB/Th) 用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）可信路徑：應(yīng)根據(jù)6.9 的描述，按 GB/T抗抵賴(lài)：應(yīng)根據(jù)

60、6.10 的描述，按 GB/T傳輸層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）自主訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.2 的描述，按 GB/Tc）標(biāo)記：應(yīng)根據(jù) 6.3 的描述，按 GB/Td）強(qiáng)制訪(fǎng)問(wèn)控制：應(yīng)根據(jù)6.4 的描述，按 GB/T；e）數(shù)據(jù)流控制：應(yīng)根據(jù)6.5 的描述，按 GB/Tf ）安全審計(jì)：應(yīng)根據(jù)6.6 的描述，按 GB/Tg）用戶(hù)數(shù)據(jù)完整性：應(yīng)根據(jù)6.7 的描述，按 GB/Th) 用戶(hù)數(shù)據(jù)保密性：應(yīng)根據(jù)6.8 的描述，按 GB/Ti ）可信路徑：應(yīng)根據(jù)6.9 的描述，按 GB/T抗抵賴(lài)：應(yīng)根據(jù) 6.10 的描述，按 GB/T會(huì)話(huà)層a）身份鑒別：應(yīng)根據(jù)6.1 的描述，按 GB/Tb）