信息安全技术 信息系统安全通用技术要求

发布时间: 2010-01-19 丨 阅读次数: 41097

ICS35.020
L 09

中华人民共和国国家标准

GB 17859-1999

信息安全技术

信息系统安全通用技术要求

Information security technology—

Common techniques requirement for information system security

 

 

2006-12-01 实施  __________________________________2006-05-31 发布

 中国国家标准化管理委员会      
中华人民共和国国家质量监督检验检疫总局  
  发布 

  

目 次

前 言 ............................................................................... VI
引 言 .............................................................................. VII
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 安全功能技术要求 ................................................................... 4
4.1 物理安全 .......................................................................... 4
4.1.1 环境安全 ........................................................................ 4
4.1.2 设备安全 ........................................................................ 7
4.1.3 记录介质安全 .................................................................... 8
4.2 运行安全 .......................................................................... 8
4.2.1 风险分析 ........................................................................ 8
4.2.2 信息系统安全性检测分析 .......................................................... 8
4.2.3 信息系统安全监控 ................................................................ 9
4.2.4 安全审计 ........................................................................ 9
4.2.5 信息系统边界安全防护 ........................................................... 11
4.2.6 备份与故障恢复 ................................................................. 11
4.2.7 恶意代码防护 ................................................................... 12
4.2.8 信息系统的应急处理 ............................................................. 12
4.2.9 可信计算和可信连接技术 ......................................................... 12
4.3 数据安全 ......................................................................... 12
4.3.1 身份鉴别 ....................................................................... 12
4.3.2 抗抵赖 ......................................................................... 14
4.3.3 自主访问控制 ................................................................... 14
4.3.4 标记 ........................................................................... 15
4.3.5 强制访问控制 ................................................................... 16
4.3.6 用户数据完整性保护 ............................................................. 17
4.3.7 用户数据保密性保护 ............................................................. 17
4.3.8 数据流控制 ..................................................................... 17
4.3.9 可信路径 ....................................................................... 17
4.3.10 密码支持 ...................................................................... 18
5 安全保证技术要求 .................................................................. 18
5.1 SSOIS自身安全保护 ............................................................... 18
5.1.1 SSF物理安全保护 ............................................................... 18
5.1.2 SSF运行安全保护 ............................................................... 18
5.1.3 SSF数据安全保护 ............................................................... 19
5.1.4 SSOIS资源利用 ................................................................. 20
5.1.5 SSOIS访问控制 ................................................................. 21
5.2 SSOIS设计和实现 ................................................................. 22
5.2.1 配置管理 ....................................................................... 22
5.2.2 分发和操作 ..................................................................... 23
5.2.3 开发 ........................................................................... 23
5.2.4 文档要求 ....................................................................... 26
5.2.5 生存周期支持 ................................................................... 26
5.2.6 测试 ........................................................................... 28
5.2.7 脆弱性评定 ..................................................................... 29
5.3 SSOIS安全管理 ................................................................... 30
5.3.1 SSF功能的管理 ................................................................. 30
5.3.2 安全属性的管理 ................................................................. 31
5.3.3 SSF数据的管理 ................................................................. 31
5.3.4 安全角色的定义与管理 ........................................................... 32
5.3.5 SSOIS安全机制的集中管理 ....................................................... 32
6 信息系统安全技术分等级要求 ........................................................ 32
6.1 第一级 用户自主保护级 ........................................................... 32
6.1.1 物理安全 ....................................................................... 32
6.1.2 运行安全 ....................................................................... 33
6.1.3 数据安全 ....................................................................... 33
6.1.4 SSOIS自身安全保护 ............................................................. 34
6.1.5 SSOIS设计和实现 ............................................................... 35
6.1.6 SSOIS安全管理 ................................................................. 35
6.2 第二级 系统审计保护级 ............................................................ 35
6.2.1 物理安全 ....................................................................... 35
6.2.2 运行安全 ....................................................................... 36
6.2.3 数据安全 ....................................................................... 37
6.2.4 SSOIS自身安全保护 ............................................................. 38
6.2.5 SSOIS设计和实现 ............................................................... 39
6.2.6 SSOIS安全管理 ................................................................. 40
6.3 第三级 安全标记保护级 ........................................................... 40
6.3.1 物理安全 ....................................................................... 40
6.3.2 运行安全 ....................................................................... 40
6.3.3 数据安全 ....................................................................... 41
6.3.4 SSOIS自身安全保护 ............................................................. 43
6.3.5 SSOIS设计和实现 ............................................................... 44
6.3.6 SSOIS安全管理 ................................................................. 45
6.4 第四级 结构化保护级 ............................................................. 46
6.4.1 物理安全 ....................................................................... 46
6.4.2 运行安全 ....................................................................... 46
6.4.3 数据安全 ....................................................................... 47
6.4.4 SSOIS自身安全保护 ............................................................. 49
6.4.5 SSOIS设计和实现 ............................................................... 50
6.4.6 SSOIS安全管理 ................................................................. 52
6.5 第五级 访问验证保护级 ........................................................... 52
6.5.1 物理安全 ....................................................................... 52
6.5.2 运行安全 ....................................................................... 53
6.5.3 数据安全 ....................................................................... 54
6.5.4 SSOIS自身安全保护 ............................................................. 56
6.5.5 SSOIS设计和实现 ............................................................... 57
6.5.6 SSOIS安全管理 ................................................................. 58
附录A ............................................................................... 59
(资料性附录) ....................................................................... 59
标准概念说明 ......................................................................... 59
A.1 组成与相互关系 .................................................................. 59
A.2 关于安全保护等级的划分 .......................................................... 60
A.3 关于主体、客体 .................................................................. 60
A.4 关于SSOIS、SSF、SSP、SFP及其相互关系 .......................................... 60
A.5 关于密码技术 .................................................................... 60
A.6 关于信息安全技术等级和信息系统安全等级 .......................................... 61
附录B ............................................................................... 62
(资料性附录) ....................................................................... 62
等级化信息系统安全设计参考 ........................................................... 62
B.1 安全需求与分等级保护 ............................................................ 62
B.1.1 确定安全需求的基本方法 ......................................................... 62
B.1.2 分等级保护的基本思想 ........................................................... 62
B.1.3 划分安全保护等级的假定 ......................................................... 62
B.1.4 划分和确定安全保护等级的原则和方法 ............................................. 63
B.1.4.1 安全域和安全保护等级划分的原则 ............................................... 63
B.1.4.2 安全域和安全保护等级划分的方法 ............................................... 64
B.2 信息系统安全设计概述 ............................................................ 65
B.2.1 信息系统安全设计总体说明 ....................................................... 65
B.2.1.1 信息系统安全设计示意图 ....................................................... 65
B.2.1.2 信息系统安全设计示意图说明 ................................................... 66
B.2.2 信息系统安全的组成与相互关系 ................................................... 67
B.2.3 等级化信息系统安全的设计 ....................................................... 68
B.2.3.1 信息系统安全设计各相关因素及其相互关系 ....................................... 68
B.2.3.2 信息系统安全设计各相关因素相互关系的进一步说明 ................................ 69
B.2.3.3 等级化信息系统安全设计方法和步骤 ............................................. 70
B.2.3.4 等级化信息系统安全设计示例 ................................................... 71
附录C ............................................................................... 74
(资料性附录) ....................................................................... 74
安全技术要素与安全技术分等级要求的对应关系 ........................................... 74
参考文献 ............................................................................. 83

 

前 言

(略)


 

引 言

本标准主要从信息系统的安全保护等级划分的角度,说明为实现GB17859-1999中每一个安全保护等级的安全功能要求应采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异。 一个复杂、大型/巨大型信息系统,可以由若干个分系统或子系统组成。无论从全系统、分系统或子系统的角度,信息系统一般由支持软件运行的硬件系统(含计算机硬件系统和网络硬件系统)、对系统资源进行管理和为用户使用提供基本支持的系统软件(含计算机操作系统软件、数据库管理系统软件和网络协议软件和管理软件)、实现信息系统应用功能的应用系统软件等组成。这些硬件和软件共同协作运行,实现信息系统的整体功能。从安全角度,组成信息系统各个部分的硬件和软件都应有相应的安全功能,确保在其所管辖范围内的信息安全和提供确定的服务。这些安全功能分别是:确保硬件系统安全的物理安全,确保数据网上传输、交换安全的网络安全,确保操作系统和数据库管理系统安全的系统安全(含系统安全运行和数据安全保护),确保应用软件安全运行的应用系统安全(含应用系统安全运行和数据安全保护)。这四个层面的安全,再加上为保证其安全功能达到应有的安全性而必须采取的管理措施,构成了实现信息系统安全的五个层面的安全。其实,在这五个层面中,许多安全功能和实现机制都是相同的。比如,身份鉴别、审计、访问控制、保密性保护、完整性保护等,在每一层都有体现,并有相应的安全要求。本标准对这些安全功能的描述是从安全技术的角度进行的,每一个安全技术的要求(含功能要求和保证要求)具有普遍的适用性,比如,对身份鉴别的描述既适用于操作系统,也适用于网络系统、数据库管理系统和应用系统。这种按安全要素对安全技术要求进行描述的方法,具有简洁、清晰的优点。
本标准大量采用了GB/T18336-2002(国际标准ISO/IEC 15408:1999的等同标准)的安全功能要求和安全保证要求的技术内容,并按GB17859-1999的五个等级,对其进行了相应的等级划分。
本标准首先对信息安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述,然后按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。
需要特别说明的是,信息安全技术等级和信息系统安全等级是两个既有联系又不相同的概念。本标准是对不同安全等级的信息安全技术要求的描述。信息系统安全的等级是根据信息系统所采用的安全技术,参照信息安全技术等级确定的,而实现信息系统安全的所需要的安全技术是根据信息系统的安全需求确定的(有关概念的详细说明,见附录A.6关于信息安全技术等级与信息系统安全等级)。
为了帮助读者运用这些安全技术设计和实现不同安全等级的信息系统,附录B给出了等级化信息系统安全设计参考。
附录C给出信息系统安全技术要素与安全技术分等级要求之间的对应关系,表C.1是安全功能技术要求与安全功能技术分等级要求的对应关系;表C.2式安全保证技术要素与安全保证技术分等级要求的对应关系。
第6章是对各个安全保护等级安全功能技术要求和安全保证技术要求的具体描述。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第6章的描述中,每一级的新增部分用“宋体加粗”表示。


 信息安全技术
信息系统安全通用技术要求


1 范围

本标准依据GB17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的安全技术的各个安全等级要求。
本标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统安全的测试和管理可参照使用。

2 规范性引用文件

下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB17859-1999 计算机信息系统安全保护等级划分准则
GBJ45-1982 高层民用建筑设计防火规定
TJ16-1974 建筑设计防火规范

3 术语和定义

GB17859—1999确立的以及下列术语和定义适用于本标准。

3.1

信息系统安全 security of infomition system
信息系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

3.2

信息系统通用安全技术 common security technology of infomition system
实现各种类型的信息系统安全所普遍适用的安全技术。

3.3

信息系统安全子系统(SSOIS) security subsystem of infomition system
信息系统内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的信息系统安全保护环境,并提供安全信息系统所要求的附加用户服务。按照GB17859-1999对可信计算基(TCB)的定义,SSOIS就是信息系统的TCB。

3.4

安全要素 security element
本标准中的安全功能技术要求和安全保证技术要求所包含的安全内容的组成成份。
3.5
安全功能策略(SFP) security function policy
为实现SSOIS安全要素要求的功能所采用的安全策略。

3.6

安全功能 security function

为实现安全要素的要求,正确实施相应安全功能策略所提供的功能。


3.7
安全保证 security assurance
为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。

3.8

SSOIS安全策略(SSP) SS0IS security policy
对SS0IS中的资源进行管理、保护和分配的一组规则。一个SSOIS中可以有一个或多个安全策略。

3.9

SSOIS安全功能(SSF) SSOIS security function
正确实施SSOIS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成一个SSOIS安全功能模块。一个SSOIS的所有安全功能模块共同组成该SSOIS的安全功能。

3.10

SSF控制范围(SSC) SSF scope of control
SSOIS的操作所涉及的主体和客体的范围。

3.11

用户标识 user identification
用来标明用户的身份,确保用户在系统中的唯一性和可辨认性。一般以用户名称和用户标识符(UID)来标明系统中的用户。用户名称和用户标识符都是公开的明码信息。

3.12

用户鉴别 user authentication
用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。

3.13

用户-主体绑定 user- subject binding
用一定方法将指定用户与为其服务的主体(如进程)相关联。

3.14

主、客体标记 label of subject and object
为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。

3.15

安全属性 security attribute
用于实施安全策略,与主体、客体相关的信息。对于自主访问控制,安全属性包括确定主、客体访问关系的相关信息;对于采用多级安全策略模型的强制访问控制,安全属性包括主、客体的标识信息和安

全标记信息。
 
3.16

 自主访问控制 discretionary access control
由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问,并能根据授权,对访问权限进行转移。

3.17

 强制访问控制 mandatory access control

 由系统根据主、客体所包含的敏感标记,按照确定的规则,决定主体对客体访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问。敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护。

3.18

 回退 rollback
由于某种原因而撤消上一次/一系列操作,并返回到该操作以前的已知状态的过程。

3.19

可信信道 trusted channel
为了执行关键的安全操作,在SSF与其它可信IT产品之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。

3.20

可信路径 trusted path
为实现用户与SSF之间的可信通信,在SSF与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。

3.21

公开用户数据 published user data
信息系统中需要向所有用户公开的数据。该类数据需要进行完整性保护。

3.22

内部用户数据 internal user data
信息系统中具有一般使用价值或保密程度,需要进行一定保护的用户数据。该类数据的泄漏或破坏,会带来一定的损失。

3.23

重要用户数据 important user data
信息系统中具有重要使用价值或保密程度,需要进行重点保护的用户数据,该类数据的泄露或破坏,会带来较大的损失。

3.24

关键用户数据 key user data
信息系统中具有很高使用价值或保密程度,需要进行特别保护的用户数据,该类数据的泄漏或破坏,会带来重大损失。

3.25

核心用户数据 nuclear user data
信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或破坏,会带来灾难性损失。

3.26

容错 tolerance
通过一系列内部处理措施,将软、硬件所出现的错误消除掉,确保出错情况下SSOIS所提供的安全功能的有效性和可用性;

3.27

服务优先级 priority of service
通过对资源使用的有限控制策略,确保SSOIS中高优先级任务的完成不受低优先级任务的干扰和延误,从而确保SSOIS安全功能的安全性;


3.28

资源分配 resource allocation
通过对SSOIS安全功能控制范围内资源的合理管理和调度,确保SSOIS的安全功能不因资源使用方面的原因而受到影响。

3.29

配置管理(CM) configuration management
一种建立功能要求和规范的方法。该功能要求和规范是在SSOIS的执行中实现的。

3.30

配置管理系统(CMS) configuration management system
通过提供追踪任何变化,以及确保所有修改都已授权的方法,确保SSOIS各部分的完整性。

3.31

保护轮廓(PP) protection profile
详细说明信息系统安全保护需求的文档,即通常的安全需求,一般由用户负责编写。

3.32

安全目标(ST) security target
阐述信息系统安全功能及信任度的文档,即通常的安全方案,一般由开发者编写。

3.33

SSOIS安全管理 SSOIS security management
是指对与SSOIS安全相关方面的管理,包括对不同的管理角色和它们之间的相互作用(如能力的分离)进行规定,对分散在多个物理上分离的部件有关敏感标记的传播、SSF数据和功能的修改等问题的处理。

3.34

安全功能数据 security function data
安全子系统中各个安全功能模块实现其安全功能所需要的数据,如主、客体的安全属性,审计信息、鉴别信息等。

4 安全功能技术要求

4.1 物理安全

4.1.1 环境安全

4.1.1.1 中心机房的安全保护

4.1.1.1.1 机房场地选择

根据对机房安全保护的不同要求,机房场地选择分为:

a) 基本要求:按一般建筑物的要求进行机房场地选择。
b) 防火要求:避开易发生火灾和危险程度高的地区,如油库和其它易燃物附近的区域;
c) 防污染要求:避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域;
d) 防潮及防雷要求:避开低洼、潮湿及落雷区域;
e) 防震动和噪声要求:避开强震动源和强噪声源区域;
f) 防强电场、磁场要求:避开强电场和强磁场区域;
g) 防地震、水灾要求:避开有地震、水灾危害的区域;
h) 位置要求:避免在建筑物的高层以及用水设备的下层或隔壁;
i) 防公众干扰要求:避免靠近公共区域,如运输邮件通道、停车场或餐厅等。



4.1.1.1.2 机房内部安全防护

根据对机房安全保护的不同要求,机房内部安全防护分为:

a) 机房出入:机房应只设一个出入口,并有专人负责,未经允许的人员不准进入机房;另设若干紧急疏散出口,标明疏散线路和方向;
b) 机房物品:没有管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带入机房;
c) 机房人员:获准进入机房的来访人员,其活动范围应受到限制,并有接待人员陪同;
d) 机房分区:机房内部应分区管理,一般分为主机区、操作区、辅助区等,并根据每个工作人员的实际工作需要,确定其能进入的区域;
e) 机房门禁:设置机房电子门禁系统,进入机房的人员,通过门禁系统的鉴别,方可进入。


4.1.1.1.3 机房防火

根据对机房安全保护的不同要求,机房防火分为:

a) 建筑材料防火○1:机房和记录介质存放间,其建筑材料的耐火等级,应符合TJ16-1974中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的三级耐火等级;
b) 建筑材料防火○2:机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GBJ45-1982中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的二级耐火等级;
c) 建筑材料防火○3:机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GBJ45-1982中规定的一级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的二级耐火等级;
d) 报警和灭火系统○1:设置火灾报警系统,由人来操作灭火设备,并对灭火设备的效率、毒性、用量和损害性有一定的要求;
e) 报警和灭火系统○2:设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断电源、关闭空调设备等;
f) 报警和灭火系统○3:设置火灾自动消防系统,能自动检测火情、自动报警,并自动切断电源和其他应急开关,自动启动事先固定安装好的灭火设备进行自动灭火;
g) 区域隔离防火:机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要设备地区,应安装防火门、使用阻燃材料装修等。


4.1.1.1.4 机房供、配电

根据对机房安全保护的不同要求,机房供、配电分为:

a) 分开供电:机房供电系统应将计算机系统供电与其它供电分开,并配备应急照明装置;
b) 紧急供电○1:配置抵抗电压不足的基本设备,如UPS;
c) 紧急供电○2:配置抵抗电压不足的改进设备,如基本UPS、改进UPS、多级UPS;
d) 紧急供电○3:配置抵抗电压不足的更强设备,如基本UPS、改进的UPS、多级UPS和应急电源(发电机组)等;
e) 备用供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留;
f) 稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响;
g) 电源保护:设置电源保护装置,如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等,防止/减少电源发生故障;
h) 不间断供电:采用不间断供电电源,防止电压波动、电器干扰、断电等对计算机系统的影响;
i) 电器噪声防护:采取有效措施,减少机房中电器噪声干扰,保证计算机系统正常运行;
j) 突然事件防护:采取有效措施,防止/减少供电中断、异常状态供电(指连续电压过载或低电压)、电压瞬变、噪声(电磁干扰)以及由于雷击等引起的设备突然失效事件。


4.1.1.1.5 机房空调、降温

根据对机房安全保护的不同要求,机房空调、降温分为:

a) 基本温度要求:应有必要的空调设备,使机房温度达到所需的温度要求;
b) 较完备空调系统:应有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允许的范围;
c) 完备空调系统:应有完备的中央空调系统,保证机房各个区域的温度变化能满足计算机系统运行、人员活动和其它辅助设备的要求。


4.1.1.1.6 机房防水与防潮

根据对机房安全保护的不同要求,机房防水与防潮分为:

a) 水管安装要求:水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并采取可靠的密封措施;
b) 水害防护:采取一定措施,防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移与渗透;
c) 防水检测:安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害,及时报警;
d) 排水要求:机房应设有排水口,并安装水泵,以便迅速排出积水。


4.1.1.1.7 机房防静电

根据对机房安全保护的不同要求,机房防静电分为:

a) 接地与屏蔽:采用必要的措施,使计算机系统有一套合理的防静电接地与屏蔽系统;
b) 服装防静电:人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作;
c) 温、湿度防静电:控制机房温湿度,使其保持在不易产生静电的范围内;
d) 地板防静电:机房地板从表面到接地系统的阻值,应在不易产生静电的范围;
e) 材料防静电:机房中使用的各种家具,工作台、柜等,应选择产生静电小的材料;
f) 维修MOS电路保护:在硬件维修时,应采用金属板台面的专用维修台,以保护MOS电路;
g) 静电消除要求:在机房中使用静电消除剂和静电消除器等,以进一步减少静电的产生。


4.1.1.1.8 机房接地与防雷击

根据对机房安全保护的不同要求,机房接地与防雷击分为:

a) 接地要求:采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等,确保接地体的良好接地;
b) 去耦、滤波要求:设置信号地与直流电源地,并注意不造成额外耦合,保障去耦、滤波等的良好效果;
c) 避雷要求:设置避雷地,以深埋地下、与大地良好相通的金属板作为接地点;至避雷针的引线则应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针相连;
d) 防护地与屏蔽地要求:设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体的粗线,以减小各种地之间的电位差;应采用焊接方法,并经常检查接地的良好,检测接地电阻,确保人身、设备和运行的安全;
e) 交流电源地线要求:设置交流电源地线;交流供电线应有规范连接位置的三芯线,即相线、中线和地线,并将该“地线”连通机房的地线网,以确保其安全保护作用。


4.1.1.1.9 机房电磁防护

根据对机房安全保护的不同要求,机房电磁防护分为:

a) 接地防干扰:采用接地的方法,防止外界电磁和设备寄生耦合对计算机系统的干扰;
b) 屏蔽防干扰:采用屏蔽方法,减少外部电器设备对计算机系统的瞬间干扰;
c) 距离防干扰:采用距离防护的方法,将计算机机房的位置选在外界电磁干扰小的地方和远离可能接收辐射信号的地方;
d) 电磁泄漏发射防护:应采用必要措施,防止计算机设备产生的电磁泄漏发射造成信息泄露;
e) 介质保护:对磁带、磁盘等磁介质设备的保管存放,应注意电磁感应的影响,如使用铁制柜存放;
f) 机房屏蔽:采用屏蔽方法,对计算机机房进行电磁屏蔽,防止外部电磁场对计算机设备的干扰,防止电磁信号泄漏造成的信息泄露;


4.1.1.2 通信线路的安全防护

根据对通信线路安全的不同要求,通信线路安全防护分为:

a) 确保线路畅通:采取必要措施,保证通信线路畅通;
b) 发现线路截获:采取必要措施,发现线路截获事件并报警;
c) 及时发现线路截获:采取必要措施,及时发现线路截获事件并报警;
d) 防止线路截获:采取必要措施,防止线路截获事件发生。


4.1.2 设备安全

4.1.2.1 设备的防盗和防毁

根据对设备安全的不同要求,设备的防盗和防毁分为:

a) 设备标记要求:计算机系统的设备和部件应有明显的无法除去的标记,以防更换和方便查找赃物;
b) 计算中心防盗○1:计算中心应安装防盗报警装置,防止夜间从门窗进入的盗窃行为;
c) 计算中心防盗○2:计算中心应利用光、电、无源红外等技术设置机房报警系统,并有专人值守,防止夜间从门窗进入的盗窃行为;
d) 计算中心防盗○3:利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守,防止夜间从门窗进入的盗窃行为;
e) 机房外部设备防盗:机房外部的设备,应采取加固防护等措施,必要时安排专人看管,以防止盗窃和破坏。


4.1.2.2 设备的安全可用

根据对设备安全的不同要求,设备的安全可用分为:

a) 基本运行支持:信息系统的所有设备应提供基本的运行支持,并有必要的容错和故障恢复能力;
b) 设备安全可用:支持信息系统运行的所有设备,包括计算机主机、外部设备、网络设备及其它辅助设备等均应安全可用;
c) 设备不间断运行:提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不间断运行。


4.1.3 记录介质安全

根据对设备安全的不同要求,记录介质安全分为:

a) 公开数据介质保护:存放有用数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施防止被毁和受损;
b) 内部数据介质保护:存放内部数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施,防止被盗、被毁和受损;需要删除和销毁的内部数据,应有一定措施,防止被非法拷贝;
c) 重要数据介质保护:存放重要数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取较严格的保护措施,防止被盗、被毁和受损;应该删除和销毁的重要数据,要有有效的管理和审批手续,防止被非法拷贝;
d) 关键数据介质保护:存放关键数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取严格的保护措施,防止被盗、被毁和受损;需要删除和销毁的关键数据,要有严格的管理和审批手续,并采取有效措施,防止被非法拷贝;
e) 核心数据介质保护:存放核心数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取最严格的保护措施,防止被盗、被毁和受损;核心数据应长期保存,并采取有效措施,防止被非法拷贝。


4.2 运行安全

4.2.1 风险分析

信息系统的风险分析应按以下要求进行:

a) 以系统安全运行和数据安全保护为出发点,全面分析由于物理的、系统的、管理的、人为的和自然的原因所造成的安全风险;
b) 通过对影响信息系统安全运行的诸多因素的了解和分析,明确系统存在的风险,找出克服这些风险的办法;
c) 对常见的风险(如:后门/陷阱门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、破坏活动、偷窃行为、搭线窃听以及计算机病毒等)进行分析,确定每类风险的程度;
d) 系统设计前和运行前应进行静态风险分析,以发现系统的潜在安全隐患;
e) 系统运行过程中应进行动态风险分析,测试、跟踪并记录其活动,以发现系统运行期的安全漏洞,并提供相应的系统脆弱性分析报告;
f) 采用风险分析工具,通过收集数据、分析数据、输出数据,确定危险的严重性等级,分析危险的可能性等方法,进行风险分析,并确定安全对策。


4.2.2 信息系统安全性检测分析

根据对信息系统安全运行的不同要求,信息系统安全性检测分析分为:

a) 操作系统安全性检测分析:从操作系统的角度,以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等,从而检测和分析操作系统的安全性,发现存在的安全隐患;
b) 数据库管理系统安全性检测分析:对支持信息系统运行的数据库管理系统进行安全性检测分析,要求通过扫描数据库系统中与鉴别、授权、访问控制和系统完整性设置相关的数据库管理系统特定的安全脆弱性,分析其存在的缺点和漏洞,提出补救措施;
c) 网络系统安全性检测分析:采用侵袭模拟器,通过在网络设备的关键部位,用模拟侵袭的方法,自动扫描、检查并报告网络系统中(包括安全网络系统的各个组成部分,如防火墙等)存在的缺陷和漏洞,提出补救措施,达到增强网络安全性的目的;
d) 应用系统安全性检测分析:对所开发的应用系统进行系统运行的安全性检测分析,要求通过扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施;
e) 硬件系统安全性检测分析:对支持系统运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性(包括电磁泄漏发射和电磁干扰等),分析其存在的缺陷和漏洞,提出补救措施;
f) 攻击性检测分析:对重要的信息系统作攻击性检测,通过专业技术攻击检测检查系统存在的缺陷和漏洞,提出补救措施。

4.2.3 信息系统安全监控

信息系统安全监控应采用以下方法:

a) 安全探测机制:在组成信息系统的计算机、网络的各个重要部位,设置探测器,实时监听网络数据流,监视和记录内、外部用户出入网络的相关操作,在发现违规模式和未授权访问时,报告信息系统安全监控中心;
b) 安全监控中心:设置安全监控中心,对收到的来自探测器的信息,根据安全策略进行分析,并作审计、报告、事件记录和报警等处理。监控中心应具有必要的远程管理功能,如对探测器实现远程参数设置、远程数据下载、远程启动等操作。安全监控中心还应具有实时响应功能,包括攻击分析和响应、误操作分析和响应、漏洞分析和响应以及漏洞形势分析和响应等。


4.2.4 安全审计

4.2.4.1 安全审计的响应

安全审计SSF应按以下要求响应审计事件:

a) 记审计日志:当检测到有安全侵害事件时,将审计数据记入审计日志;
b) 实时报警生成:当检测到有安全侵害事件时,生成实时报警信息,并根据报警开关的设置有选择地报警;
c) 违例进程终止:当检测到有安全侵害事件时,将违例进程终止;
d) 服务取消:当检测到有安全侵害事件时,取消当前的服务;
e) 用户账号断开与失效:当检测到有安全侵害事件时,将当前的用户账号断开,并使其失效。

 


4.2.4.2 安全审计数据产生

安全审计SSF应按以下要求产生审计数据:

a) 为下述可审计事件产生审计记录:

——审计功能的开启和关闭;
——使用身份鉴别机制;
——将客体引入用户地址空间(例如:打开文件、程序初始化);
——删除客体;
——系统管理员、系统安全员、审计员和一般操作员所实施的操作;
——其他与系统安全有关的事件或专门定义的可审计事件;

b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;
c) 对于身份鉴别事件,审计记录应包含请求的来源(例如:末端标识符);
d) 对于客体被引入用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安全级。

 


4.2.4.3 安全审计分析

根据对安全审计的不同要求,安全审计分析分为:

a) 潜在侵害分析:用一系列规则监控审计事件,并根据这些规则指出对SSP的潜在侵害。这些规则包括:

——由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;
——任何其它的规则;

b) 基于异常检测的描述:维护用户所具有的质疑等级——历史使用情况,以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时,能指出将要发生对安全性的威胁;
c) 简单攻击探测:能检测到对SSF的实施有重大威胁的签名事件的出现。为此,SSF应维护指出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对SSF的攻击即将到来;
d) 复杂攻击探测:在上述简单攻击探测的基础上,能检测到多步入侵情况,并根据已知的事件序列模拟出完整的入侵情况,指出发现对SSF的潜在侵害的签名事件或事件序列的时间。

 


4.2.4.4 安全审计查阅

根据对安全审计的不同要求,安全审计查阅分为:

a) 基本审计查阅:提供从审计记录中读取信息的能力,即为授权用户提供获得和解释审计信息的能力。当用户是人时,必须以人类可懂的方式表示信息;当用户是外部IT实体时,必须以电子方式无歧义地表示审计信息;
b) 有限审计查阅:在基本审计查阅的基础上,应禁止具有读访问权限以外的用户读取审计信息;
c) 可选审计查阅:在有限审计查阅的基础上,应具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。

 


4.2.4.5 安全审计事件选择

应根据以下属性选择可审计事件:

a) 客体身份、用户身份、主体身份、主机身份、事件类型;
b) 作为审计选择性依据的附加属性。


4.2.4.6 安全审计事件存储

根据对安全审计的不同要求,安全审计事件存储分为:

a) 受保护的审计踪迹存储:审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改;
b) 审计数据的可用性确保:在意外情况出现时,能检测或防止对审计记录的修改,以及在发生审计存储已满、存储失败或存储受到攻击时,确保审计记录不被破坏;
c) 审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理;
d) 防止审计数据丢失:在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施,可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施,防止审计数据丢失。

4.2.4.7 网络环境安全审计

在网络环境运行的信息系统,应采用以下措施实现网络环境信息系统安全审计:

a) 安全审计中心:在信息系统中心建立由安全审计服务器组成的审计中心,收集各安全审计代理程序的审计信息,并进行记录分析与保存;
b) 安全审计代理程序:分布在网络各个运行节点的安全审计代理程序,为安全审计服务器提供审计数据;
c) 跨平台安全审计机制:设置跨平台的安全审计机制,对安全事件快速进行评估并作出响应,向管理人员提供各种能反映系统使用情况、出现的可疑迹象、运行中发生的问题等有价值的统计和分析信息;
d) 审计评估方法和机制:运用统计方法学和审计评估机制,给出智能化审计报告及趋向报告,达到综合评估系统安全现状的目的。


4.2.5 信息系统边界安全防护

根据对信息系统运行安全的不同要求,信息系统边界安全防护采用的安全机制和措施分为:

a) 基本安全防护:采用常规的信息系统边界安全防护机制,如基本的登录/连接控制等,实现基本的信息系统边界安全防护;
b) 较严格安全防护:采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等,实现较严格的信息系统边界安全防护;
c) 严格安全防护:根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的登录/连接控制,高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等,实现严格的信息系统边界安全防护;
d) 特别安全防护:采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的信息系统边界安全防护。

 


4.2.6 备份与故障恢复

为了实现确定的恢复功能,必须在信息系统正常运行时定期地或按某种条件实施备份。不同的恢复要求应有不同的备份进行支持。根据对信息系统运行安全的不同要求,实现备份与故障恢复的安全技术和

机制分为:

a) 用户自我信息备份与恢复:提供用户有选择地备份重要信息的功能;当由于某种原因引起信息系统中用户信息丢失或破坏时,能提供用户按自我信息备份所保留的信息进行信息恢复的功能;
b) 增量信息备份与恢复:提供由信息系统定时对新增信息进行备份的功能;当由于某种原因引起信息系统中的某些信息丢失或破坏时,提供用户按增量信息备份所保留的信息进行信息恢复的功能;
c) 局部系统备份与恢复:提供定期对信息系统的某些重要的局部系统的运行状态进行备份的功能;当由于某种原因引起信息系统某一局部发生故障时,提供用户按局部系统备份所保留的运行状态进行局部

系统恢复的功能;
d) 全系统备份与恢复:提供定期对信息系统全系统的运行状态进行备份的功能;当由于某种原因引起信息系统全系统发生故障时,提供用户按全系统备份所保留的运行状态进行全系统恢复的功能;
e) 设备备份与容错:可采用设备冷/热备份、单机逻辑备份、双机备份等,对系统的重要设备进行备份/冗余设置和容错设计,并在必要时能立即投入使用,使故障对用户透明;
f) 网络备份与容错:对于重要信息系统,采用冗余技术、路由选择技术、路由备份技术等,实现网络备份与容错,当网络正常路由不能工作时,能替代其工作,使信息系统照常运行;
g) 灾难备份与恢复:对于重要的信息系统,设置主机系统的异地备份,当主机系统发生灾难性故障中断运行时,能在较短时间内启动,替代主机系统工作,使系统不间断运行。


4.2.7 恶意代码防护

对包括计算机病毒在内的恶意代码进行必要的安全防护。根据对信息系统运行安全的不同要求,实现恶意代码防护的安全机制和措施分为:

a) 严格管理:严格控制各种外来介质的使用,防止恶意代码通过介质传播;
b) 网关防护:要求在所有恶意代码可能入侵的网络连接部位设置防护网关,拦截并清除企图进入系统的恶意代码;
c) 整体防护:设置恶意代码防护管理中心,通过对全系统的服务器、工作站和客户机,进行恶意代码防护的统一管理,及时发现和清除进入系统内部的恶意代码;
d) 防管结合:将恶意代码防护与网络管理相结合,在网管所涉及的重要部位设置恶意代码防护软件,在所有恶意代码能够进入的地方都采取相应的防范措施,防止恶意代码侵袭;
e) 多层防御:采用实时扫描、完整性保护和完整性检验等不同层次的防护技术,将恶意代码检测、多层数据保护和集中式管理功能集成起来,提供全面的恶意代码防护功能,检测、发现和消除恶意代码,

阻止恶意代码的扩散和传播。


4.2.8 信息系统的应急处理

根据对信息系统运行安全的不同要求,实现信息系统应急处理的安全机制和措施分为:

a) 具有各种安全措施:包括在出现各种安全事件时应采取的措施,这些措施是管理手段与技术手段的结合;
b) 设置正常备份机制:在系统正常运行时就通过各种备份措施为灾害和故障做准备;
c) 健全安全管理机构:建立健全的安全事件管理机构,明确人员的分工和责任;
d) 建立处理流程图:制定安全事件响应与处理计划及事件处理过程示意图,以便迅速恢复被破坏的系统。


4.2.9 可信计算和可信连接技术

a) 可信计算机技术:通过在计算机的核心部位设置基于硬件支持的可信计算模块,为计算机系统的运行,建立从系统引导、加载直到应用服务的可信任链,确保各种运行程序的真实性,并对用户的身份

鉴别,以及数据的保密性、完整性保护等安全功能提供支持。
b) 可信连接技术,通过在网络设备的核心部位设置基于硬件支持的可信连接模块,为网络设备的链接提供可信支持,确保网络设备的可信连接。


4.3 数据安全

4.3.1 身份鉴别

4.3.1.1 用户标识与鉴别

4.3.1.1.1 用户标识

根据对用户标识与鉴别的不同要求,用户标识分为:

a) 基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识;
b) 唯一性标识:应确保所标识用户在信息系统生存周期内的唯一性,并将用户标识与安全审计相关联;
c) 标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。


4.3.1.1.2 用户鉴别

根据对用户标识与鉴别的不同要求,用户鉴别分为:

a) 基本鉴别:应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别;
b) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别信息;一方面,要求SSF应检测或防止由任何别的用户伪造的鉴别数据,另一方面,要求SSF应检测或防止当前用户从任何其它用户处复制的鉴别

数据的使用;
c) 一次性使用鉴别:应提供一次性使用鉴别数据的鉴别机制,即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用;
d) 多机制鉴别:应提供不同的鉴别机制,用于鉴别特定事件的用户身份,并根据所描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份;
e) 重新鉴别:应有能力规定需要重新鉴别用户的事件,即在需要重新鉴别的条件成立时,对用户进行重新鉴别。例如,终端用户操作超时被断开后,重新连接时需要进行重鉴别;
f) 鉴别信息管理:应对用户鉴别信息进行管理、维护,确保其不被非授权的访问、修改或删除。


4.3.1.1.3 鉴别失败处理

SSF应为不成功的鉴别尝试(包括尝试次数和时间的阈值)定义一个值,并明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况

,并进行预先定义的处理。

4.3.1.2 用户-主体绑定

在SSOIS安全功能控制范围之内,对一个已标识和鉴别的用户,应通过用户-主体绑定将该用户与为其服务的主体(如进程)相关联,从而将该用户的身份与该用户的所有可审计行为相关联,以实现用户行

为的可查性。

4.3.1.3 隐密

SSOIS应为用户提供确保其身份真实性的前提下,不被其他用户发现或滥用的保护。根据对身份鉴别的不同要求,隐秘分为:

a) 匿名:用户在其使用资源或服务时,不暴露身份,即:应确保任何用户和/或主体集,不能确定与当前主体和/或操作相关联的实际用户,并在对主体提供服务时不询问实际的用户名;
b) 假名:用户在使用资源或设备时,不暴露其真实名称,但仍能对该次使用负责,即:应确保用户和/或主体集,不能确定与当前主体和/或操作相关联的真实的用户名,并能给一个用户提供多个假名,以

及验证所使用的假名是否符合假名的度量;
c) 不可关联性:一个用户可以多次使用资源和服务,但任何人都不能将这些使用联系在一起,即:应确保任何用户和/主体不能确定系统中的某些操作是否由同一用户引起;
d) 不可观察性:用户在使用资源和服务时,其它人,特别是第三方不能观察到该资源和服务正在被使用,即:应确保任何用户和/或主体,不能观察到由受保护的用户和/或主体对客体所进行的操作。

 


4.3.1.4 设备标识与鉴别

4.3.1.4.1 设备标识

根据对设备标识与鉴别的不同要求,设备标识分为:
a) 接入前标识:对连接到信息系统的设备,应在将其接入到系统前先进行标识;
b) 标识信息管理:应对设备标识信息进行管理、维护,确保其不被非授权的访问、修改或删除。


4.3.1.4.2 设备鉴别

根据设备标识与鉴别的不同要求,设备鉴别分为:

a) 接入前鉴别:对连接到信息系统的设备,应在将其接入到系统前先进行鉴别,以防止设备的非法接入;
b) 不可伪造鉴别:鉴别信息应是不可见的,不易仿造的,应检测并防止使用伪造或复制的鉴别信息;
c) 鉴别信息管理:应对设备鉴别信息进行管理、维护,确保其不被非授权的访问、修改或删除。


4.3.1.4.3 鉴别失败处理

应通过对不成功的鉴别尝试(包括尝试次数和时间的阈值)的值进行预先定义,以及明确规定达到该值时所应采取的动作来实现鉴别失败的处理。

4.3.2 抗抵赖

4.3.2.1 抗原发抵赖

应确保数据的发送者不能成功地否认曾经发送过该数据。要求SSF应提供一种方法,来确保接收数据的主体在数据交换期间能获得证明数据原发的证据,而且该证据可由该主体或第三方主体验证。
根据对抗抵赖的不同要求,抗原发抵赖分为:

a) 选择性原发证明:SSF应具有按主体请求对传输的数据产生原发证据的能力,即SSF在接到接收者的请求时,能就传输的数据产生原发证据,证明该数据的发送由该原发者所为;
b) 强制性原发证明:SSF应总对传输的数据产生原发证据,即SSF能在任何时候对传输的数据产生原发证据,证明该数据的发送由该原发者所为。


4.3.2.2 抗接收抵赖

应确保数据的接收者不能否认接收过该数据。要求SSF应提供一种方法,来确保发送数据的主体在数据交换期间能获得证明该数据被接收的证据,而且该证据可由该主体或第三方主体验证。根据对抗抵赖

的不同要求,抗接收抵赖分为:

a) 选择性接收证明:SSF应具有按主体请求对传输的数据产生接收证据的能力,即SSF在接到原发者的请求时,能就传输的数据产生接收证据,证明该数据的接收由该接收者所为;
b) 强制性接收证明:SSF应总对传输的数据产生接收证据,即SSF能在任何时候对传输的数据产生接收证据,证明该数据的接收由该接收者所为。


4.3.3 自主访问控制

4.3.3.1 访问控制策略

SSF应按确定的自主访问控制安全策略进行设计,实现对策略控制下的主体对客体操作的控制。
可以有多个自主访问控制安全策略,但它们必须独立命名,且不能相互冲突。常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制、权能表访问控制等。

4.3.3.2 访问控制功能

SSF应实现采用一条命名的访问控制策略的特定功能,说明策略的使用和特征,以及该策略的控制范围。
无论采用何种自主访问控制策略,SSF应有能力提供:
——在安全属性或命名的安全属性组的客体上,执行访问控制SFP;
——在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访问;
——在基于安全属性的拒绝主体对客体访问的规则的基础上,拒绝主体对客体的访问。


4.3.3.3 访问控制范围

根据对自主访问控制的不同要求,自主访问控制的覆盖范围分为:

a) 子集访问控制:要求每个确定的自主访问控制,SSF应覆盖由安全系统所定义的主体、客体及其之间的操作;
b) 完全访问控制:要求每个确定的自主访问控制,SSF应覆盖信息系统中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定

的访问控制SFP覆盖。


4.3.3.4 访问控制粒度

根据对访问控制的不同要求,自主访问控制的粒度分为:

a) 粗粒度:主体为用户组/用户级,客体为文件、数据库表级;
b) 中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级;
c) 细粒度:主体为用户级,客体为文件、数据库表级/记录、字段/元素级。


4.3.4 标记

4.3.4.1 主体标记

应为实施强制访问控制的主体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。

4.3.4.2 客体标记

应为实施强制访问控制的客体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。

4.3.4.3 标记的输出

当数据从SSC之内向其控制范围之外输出时,根据需要可以保留或不保留数据的敏感标记。根据对标记的不同要求,标记的输出分为:

a) 不带敏感标记的用户数据输出:在SFP的控制下输出用户数据到SSC之外时,不带有与数据相关的敏感标记;
b) 带有敏感标记的用户数据输出:在SFP的控制下输出用户数据到SSC之外时,应带有与数据相关的敏感标记,并确保敏感标记与所输出的数据相关联。


4.3.4.4 标记的输入

当数据从SSF控制范围之外向其控制范围之内输入时,应有相应的敏感标记,以便输入的数据能受到保护。根据对标记的不同要求,标记的输入分为:

a) 不带敏感标记的用户数据输入:SSF应做到:


——在SFP控制下从SSC之外输入用户数据时,应执行访问控制SFP;
——略去任何与从SSC之外输入的数据相关的敏感标记;
——