1、ICS35.040L80中华人民共和国国家标准GB/T 25070.1XXXX信息安全技术 网络安全等级保护安全设计技术要求第1部分 通用设计要求Information security technology-Technical requirements of security design for Cybersecurity Classified ProtectionPart1:General security design Requirements点击此处添加与国际标准一致性程度的标识(本稿完成日期:2016-12-15)XXXX - XX - XX发布XXXX - XX - XX实施GB
2、/T 25070.1XXXX目次前言IV引言V1范围12规范性引用文件13术语和定义13.113.213.313.423.523.623.723.824信息系统等级保护安全技术设计概述24.1等级保护安全技术设计框架要求24.2等级保护安全技术设计过程要求35第一级系统安全保护环境设计45.1设计目标45.2设计策略45.3设计技术要求45.3.1安全计算环境设计技术要求45.3.2安全区域边界设计技术要求45.3.3安全通信网络设计技术要求56第二级系统安全保护环境设计56.1设计目标56.2设计策略56.3设计技术要求56.3.1安全计算环境设计技术要求56.3.2安全区域边界设计技术要求
3、66.3.3安全通信网络设计技术要求66.3.4安全管理中心设计技术要求66.3.4.1系统管理66.3.4.2审计管理67第三级系统安全保护环境设计77.1设计目标77.2设计策略77.3设计技术要求77.3.1安全计算环境设计技术要求77.3.2安全区域边界设计技术要求87.3.3安全通信网络设计技术要求87.3.4安全管理中心设计技术要求87.3.4.1系统管理87.3.4.2安全管理97.3.4.3审计管理98第四级系统安全保护环境设计98.1设计目标98.2设计策略98.3设计技术要求98.3.1安全计算环境设计技术要求98.3.2安全区域边界设计技术要求108.3.3安全通信网络设
4、计技术要求118.3.4安全管理中心设计技术要求118.3.4.1系统管理118.3.4.2安全管理118.3.4.3审计管理118.3.5系统安全保护环境结构化设计技术要求118.3.5.1安全保护部件结构化设计技术要求118.3.5.2安全保护部件互联结构化设计技术要求128.3.5.3重要参数结构化设计技术要求129第五级系统安全保护环境设计129.1设计目标129.2设计策略129.3设计技术要求1210定级系统互联设计1210.1设计目标1210.2设计策略1210.3设计技术要求1310.3.1安全互联部件设计技术要求1310.3.2跨定级系统安全管理中心设计技术要求1310.3.
5、2.1系统管理1310.3.2.2安全管理1310.3.2.3审计管理13附录A(资料性附录)访问控制机制设计14A.1自主访问控制机制设计14A.2强制访问控制机制设计14附录B(资料性附录)第三级系统安全保护环境设计示例16B.1功能与流程16B.2子系统间接口18B.3重要数据结构21参考文献27前言GB/T 25070信息安全技术 网络安全等级保护安全设计技术要求拟分成部分出版,各部分将按照应用的领域划分成通用设计要求和具体领域的安全要求。目前计划发布以下部分:第1部分:通用设计要求;第2部分:云计算安全要求;第3部分:移动互联安全要求;第4部分:物联网安全要求;第5部分:工业控制系统
6、安全要求。本部分为GB/T 25070的第1部分。本部分按照GB/T 1.12009给出的规则进行修订。本部分代替GB/T 25070-2010信息安全技术 网络安全等级保护安全设计技术要求.本部分与GB/T 25070-2010的主要差异如下:增加了“4.2 等级保护安全技术设计过程要求”增加了“7.3.1 i)网络可信连接保护”增加了“7.3.1 j)配置可信检查”本部分由全国信息安全标准化技术委员会提出。本部分由全国信息安全标准化技术委员会归口。本标准主要起草单位:公安部第一研究所、北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信
7、研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。本标准主要起草人:蒋勇、李超、李秋香、吴薇、黄学臻、陈翠云、宫月、徐晓军、刘志宇、吕由、王昱镔、张森、卢浩、陈彦如、赵勇、林莉、马永清、傅一帆、龚炳铮、魏薇、李强、沈锡镛、陈雪秀、任卫红、赵泰、李斌、邹琪、宫亚峰、林楠、史大为、章志华、李健俊、顾军、陈卫平、琚宏伟、陈冠直、黄敏、蔡一兵、颜斌、祝乃国、尹乐、孟雅辉、张晔。引言国家标准GB/T 2
8、5070-2010信息安全技术 信息系统等级保护安全设计技术要求在开展信息安全等级保护工作的过程中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改等工作,但是随着信息技术的发展,GB/T 25070-2010在时效性、易用性、可操作性上需要进一步完善。为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对GB/T 25070-2010进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出对应的设计要求。将来可能会随着技术的变化添加新的部分阐述特定领域的安全要求。本部分是对
9、GB/T 25070-2010的修订。在第五章至第九章中,每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和增强的部分,用“黑体”表示。38信息安全技术 网络安全等级保护安全设计技术要求第1部分 通用设计要求1 范围本标准依据国家信息安全等级保护的要求,规定了信息系统等级保护安全设计技术要求。本标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内
10、容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB 17859-1999确立的以及下列术语和定义适用于本标准。3.1定级系统 classified system按照参考文献11已确定安全保护等级的信息系统。定级系统分为第一级、第二级、第三级、第四级和第五级信息系统。3.2定级系统安全保护环境 security environment of classified system由安全计算环境、安全区域边界、安全通信网络和(或
11、)安全管理中心构成的对定级系统进行安全保护的环境。定级系统安全保护环境包括第一级系统安全保护环境、第二级系统安全保护环境、第三级系统安全保护环境、第四级系统安全保护环境、第五级系统安全保护环境以及定级系统的安全互联。3.3安全计算环境 secure computing environment对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境、第四级安全计算环境和第五级安全计算环境。3.4安全区域边界 secure area boundary对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之
12、间实现连接并实施安全策略的相关部件。安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。3.5安全通信网络 secure communication network对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。3.6安全管理中心 security management center对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。
13、第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心,称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。3.7跨定级系统安全管理中心 security management center for cross classified system 跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。3.8定级系统互联 classified system interconnection 通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。4 信息系统等
14、级保护安全技术设计概述4.1 等级保护安全技术设计框架要求信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计,如图1所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。 图1 信息系统等级保护安全技术设计框架本标准以下章节,对图1各个部分提出了相应的设计技术要求(第五级信息安全保护环境的设计要求除外)。附录A给出了访问控制机制设计,附录B给出了第三级系统安全保护环境设计示例。在对定级系统进行等级保护安全保护环境设计时,可以结合系统自身业务需求,将定级系统进一步细
15、化成不同的子系统,然后在风险评估的基础上,确定每个子系统的等级,进而依据下面章节内容,对子系统进行安全保护环境的设计。4.2 等级保护安全技术设计过程要求信息系统等级保护安全技术设计应遵循如下过程:图2 等级保护安全设计过程要求a) 梳理业务流程:通过业务流程的梳理,了解系统的现状、特点及特殊安全需求,为后续量身定制安全设计方案奠定基础;b) 风险评估:基于业务流程对定级系统进行安全评估,识别资产、威胁和脆弱性,对风险进行评价,结合等级保护相应标准,提出定级系统的安全防护需求;c) 梳理主、客体及其权限:梳理定级系统涉及到的主体、客体,以及明确主体对客体的最小访问权限;d) 分层分域设计:依据
16、本标准提出的等级保护安全技术设计框架,进行区域划分,明确计算环境、区域边界、通信网络以及安全管理中心的位置;e) 分析关键保护点:从操作系统、数据库、应用系统、网络等层面分析定级系统安全保护环境的关键保护点,为安全机制及策略的设计奠定基础;f) 安全机制及策略设计:依据本标准提出的安全保护环境设计要求,在关键保护点上进行安全机制及策略的设计。5 第一级系统安全保护环境设计5.1 设计目标第一级系统安全保护环境的设计目标是:按照GB 17859-1999对第一级系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。5.2 设计策略第一级系统安全保护环境的设计策
17、略是:遵循GB 17859-1999的4.1中相关要求,以身份鉴别为基础,提供用户和(或)用户组对文件及数据库表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。第一级系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。5.3 设计技术要求5.3.1 安全计算环境设计技术要求第一级安全计算环境应从以下方面进行安全设计:a) 用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用
18、口令鉴别机制进行用户身份鉴别,并对口令数据进行保护。b) 自主访问控制应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组。访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c) 用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。d) 恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。5.3.2 安全区域边界设计技术要求第一级安全区域边界应从以下方面进行安全设计
19、:a) 区域边界包过滤可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。b) 区域边界恶意代码防范可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。5.3.3 安全通信网络设计技术要求通信网络数据传输完整性保护。可采用常规校验机制,检验通信网络数据传输的完整性,并能发现其完整性被破坏。6 第二级系统安全保护环境设计6.1 设计目标第二级系统安全保护环境的设计目标是:按照GB 17859-1999对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,
20、并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力。6.2 设计策略第二级系统安全保护环境的设计策略是:遵循GB 17859-1999的4.2中相关要求,以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段,同时通过增加系统安全审计、客体安全重用等功能,使用户对自己的行为负责,提供用户数据保密性和完整性保护,以增强系统的安全保护能力。第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。6.3 设计技术要求6.3.1 安全计算环
21、境设计技术要求第二级安全计算环境应从以下方面进行安全设计:a) 用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。b) 自主访问控制应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c) 系统安全审计应提供安全审计机制,记录系
22、统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护,并可由安全管理中心管理。d) 用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。e) 用户数据保密性保护可采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。f) 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。g) 恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操
23、作系统,并定期进行升级和更新,以防范和清除恶意代码。6.3.2 安全区域边界设计技术要求第二级安全区域边界应从以下方面进行安全设计:a) 区域边界包过滤应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。b) 区域边界安全审计应在安全区域边界设置审计机制,并由安全管理中心统一管理。c) 区域边界恶意代码防范应在安全区域边界设置防恶意代码网关,由安全管理中心管理。d) 区域边界完整性保护应在区域边界设置探测器,探测非法外联等行为,并及时报告安全管理中心。6.3.3 安全通信网络设计技术要求第二级安全通信网络应从以下方面进行安
24、全设计:a) 通信网络安全审计应在安全通信网络设置审计机制,由安全管理中心管理。b) 通信网络数据传输完整性保护可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。c) 通信网络数据传输保密性保护可采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。6.3.4 安全管理中心设计技术要求6.3.4.1 系统管理可通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作
25、,并对这些操作进行审计。6.3.4.2 审计管理可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。应对安全审计员进行身份鉴别,并只允许其通过特定的命令或操作界面进行安全审计操作。7 第三级系统安全保护环境设计7.1 设计目标第三级系统安全保护环境的设计目标是:按照GB 17859-1999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏
26、感资源的能力。7.2 设计策略第三级系统安全保护环境的设计策略是:在第二级系统安全保护环境的基础上,遵循GB 17859-1999的4.3中相关要求,构造非形式化的安全策略模型,对主、客体进行安全标记,表明主、客体的级别分类和非级别分类的组合,以此为基础,按照强制访问控制规则实现对主体及其客体的访问控制。第三级系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。7.3 设计技术要求7.3.1 安全计算环境设计技术要求第三级安全计算环境应从以下方面进行安全设计:a) 用户身份鉴别应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名
27、和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。b) 自主访问控制应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。c) 标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过
28、特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。d) 系统安全审计应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。e) 用户数据完整性保护应采用密码等技术支持的完整性校验机制,
29、检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复。f) 用户数据保密性保护应采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。g) 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。h) 程序可信执行保护可构建从操作系统到上层应用的信任链,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复,例如采用可信计算等技术。i) 网络可信连接
30、保护应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品,在设备连接网络时,对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护等。j) 配置可信检查应将系统的安全配置信息形成基准库,实时监控或定期检查配置信息的修改行为,及时修复和基准库中内容不符的配置信息。7.3.2 安全区域边界设计技术要求第三级安全区域边界应从以下方面进行安全设计:a) 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问。b) 区域边界包过滤应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址
31、、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界。c) 区域边界安全审计应在安全区域边界设置审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。d) 区域边界完整性保护应在区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。7.3.3 安全通信网络设计技术要求第三级安全通信网络应从以下方面进行安全设计:a) 通信网络安全审计应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警。b) 通信网络数据传输完整性保护应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢
32、复。c) 通信网络数据传输保密性保护应采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。d) 通信网络可信接入保护可采用由密码等技术支持的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入。7.3.4 安全管理中心设计技术要求7.3.4.1 系统管理应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和(或)异地灾难备份与恢复等。应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。7
33、.3.4.2 安全管理应通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略。应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。7.3.4.3 审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。对审计记录应进行分析,并根据分析结果进行处理。应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。8 第四级系统安全保护环境设计8.1 设计目标第四级系统安全保
34、护环境的设计目标是:按照GB 17859-1999对第四级系统的安全保护要求,建立一个明确定义的形式化安全策略模型,将自主和强制访问控制扩展到所有主体与客体,相应增强其他安全功能强度;将系统安全保护环境结构化为关键保护元素和非关键保护元素,以使系统具有抗渗透的能力。8.2 设计策略第四级系统安全保护环境的设计策略是:在第三级系统安全保护环境设计的基础上,遵循GB 17859-1999的4.4中相关要求,通过安全管理中心明确定义和维护形式化的安全策略模型。依据该模型,采用对系统内的所有主、客体进行标记的手段,实现所有主体与客体的强制访问控制。同时,相应增强身份鉴别、审计、安全管理等功能,定义安全
35、部件之间接口的途径,实现系统安全保护环境关键保护部件和非关键保护部件的区分,并进行测试和审核,保障安全功能的有效性。第四级系统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。8.3 设计技术要求8.3.1 安全计算环境设计技术要求第四级安全计算环境应从以下方面进行安全设计:a) 用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录和重新连接系统时,采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两
36、种以上的组合机制进行用户身份鉴别,且其中一种鉴别技术产生的鉴别数据是不可替代的,并对鉴别数据进行保密性和完整性保护。b) 自主访问控制应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。c) 标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记,将强制访问控制扩展到所有主体与客体;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。
37、强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。d) 系统安全审计应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;能对特定安全事件进行报警,终止违例进程等;确保审计记录不被破坏或非授权访问以及防止审计记录丢失等。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。e) 用户数据完整性保护应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受
38、到破坏时能对重要数据进行恢复。f) 用户数据保密性保护采用密码等技术支持的保密性保护机制,对在安全计算环境中的用户数据进行保密性保护。g) 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。h) 程序可信执行保护应构建从操作系统到上层应用的信任链,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复,例如采用可信计算等技术。i) 网络可信连接保护应采用具有网络可信连接保护功能的系统软件或具有相应功能的信息技术产品,在设备
39、连接网络时,对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护等。j) 配置可信检查应将系统的安全配置信息形成基准库,实时监控或定期检查配置信息的修改行为,及时修复和基准库中内容不符的配置信息。8.3.2 安全区域边界设计技术要求第四级安全区域边界应从以下方面进行安全设计:a) 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问。b) 区域边界包过滤应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界。c) 区域
40、边界安全审计应在安全区域边界设置审计机制,通过安全管理中心集中管理,对确认的违规行为及时报警并做出相应处置。d) 区域边界完整性保护应在区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。8.3.3 安全通信网络设计技术要求第四级安全通信网络应从以下方面进行安全设计:a) 通信网络安全审计应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警,且做出相应处置。b) 通信网络数据传输完整性保护应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复。c) 通信网络数据传输保密性保护采用由密
41、码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。d) 通信网络可信接入保护应采用由密码等技术支持的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入。8.3.4 安全管理中心设计技术要求8.3.4.1 系统管理应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等。应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。8.3.4.2 安全管理应通过安全管理员对系统中的主体
42、、客体进行统一标记,对主体进行授权,配置一致的安全策略,并确保标记、授权和安全策略的数据完整性。应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。8.3.4.3 审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。对审计记录应进行分析,并根据分析结果进行及时处理。应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。8.3.5 系统安全保护环境结构化设计技术要求8.3.5.1 安全保护
43、部件结构化设计技术要求第四级系统安全保护环境各安全保护部件的设计应基于形式化的安全策略模型。安全保护部件应划分为关键安全保护部件和非关键安全保护部件,防止违背安全策略致使敏感信息从关键安全保护部件流向非关键安全保护部件。关键安全保护部件应划分功能层次,明确定义功能层次间的调用接口,确保接口之间的信息安全交换。8.3.5.2 安全保护部件互联结构化设计技术要求第四级系统各安全保护部件之间互联的接口功能及其调用关系应明确定义;各安全保护部件之间互联时,需要通过可信验证机制相互验证对方的可信性,确保安全保护部件间的可信连接。8.3.5.3 重要参数结构化设计技术要求应对第四级系统安全保护环境设计实现
44、的与安全策略相关的重要参数的数据结构给出明确定义,包括参数的类型、使用描述以及功能说明等,并用可信验证机制确保数据不被篡改。9 第五级系统安全保护环境设计9.1 设计目标第五级系统安全保护环境的设计目标是:按照GB 17859-1999对第五级系统的安全保护要求,在第四级系统安全保护环境的基础上,实现访问监控器,仲裁主体对客体的访问,并支持安全管理职能。审计机制可根据审计记录及时分析发现安全事件并进行报警,提供系统恢复机制,以使系统具有更强的抗渗透能力。9.2 设计策略第五级系统安全保护环境的设计策略是:遵循GB 17859-1999的4.5中“访问监控器本身是抗篡改的;必须足够小,能够分析和
45、测试”。在设计和实现访问监控器时,应尽力降低其复杂性;提供系统恢复机制;使系统具有更强的抗渗透能力;所设计的访问监控器能进行必要的分析与测试,具有抗篡改能力。第五级系统安全保护环境的设计通过第五级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。9.3 设计技术要求第五级系统安全保护环境设计技术要求另行制定。10 定级系统互联设计10.1 设计目标定级系统互联的设计目标是:对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护,确保用户身份的真实性、操作的安全性以及抗抵赖性,并按安全策略对信息流向进行严格控制,确保进出安全计算环境、安全区域边界以及安全通信网络的
46、数据安全。10.2 设计策略定级系统互联的设计策略是:遵循GB 17859-1999对各级系统的安全保护要求,在各定级系统的计算环境安全、区域边界安全和通信网络安全的基础上,通过安全管理中心增加相应的安全互联策略,保持用户身份、主/客体标记、访问控制策略等安全要素的一致性,对互联系统之间的互操作和数据交换进行安全保护。10.3 设计技术要求10.3.1 安全互联部件设计技术要求应通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接,并按互联互通的安全策略进行信息交换,实现安全互联部件。安全策略由跨定级系统安全管理中心实施。10.3.2 跨定级系统安全管理中心设计技术要求应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连,主要实施跨定级系统的系统管理、安全管理和审计管理。10.3.2.1 系统管理应通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资源和运行进行配置和
