【文章內(nèi)容簡介】 的命令或操作界面進(jìn)行安全審計(jì)操。8 第四級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì) 設(shè)計(jì)目標(biāo)第四級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB 178591999對第四級系統(tǒng)的安全保護(hù)要求，建立一個明確定義的形式化安全策略模型，將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體，相應(yīng)增強(qiáng)其他安全功能強(qiáng)度；將系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，以使系統(tǒng)具有抗?jié)B透的能力。 設(shè)計(jì)策略第四級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)的基礎(chǔ)上，遵循GB ，通過安全管理中心明確定義和維護(hù)形式化的安全策略模型。依據(jù)該模型，采用對系統(tǒng)內(nèi)的所有主、客體進(jìn)行標(biāo)記的手段，實(shí)現(xiàn)所有主體與客體的強(qiáng)制訪問控制。同時(shí)，相應(yīng)增強(qiáng)身份鑒別、審計(jì)、安全管理等功能，定義安全部件之間接口的途徑，實(shí)現(xiàn)系統(tǒng)安全保護(hù)環(huán)境關(guān)鍵保護(hù)部件和非關(guān)鍵保護(hù)部件的區(qū)分，并進(jìn)行測試和審核，保障安全功能的有效性。 第四級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過第四級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。 設(shè)計(jì)技術(shù)要求 安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求第四級安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：a) 用戶身份鑒別 應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個生存周期用戶標(biāo)識的唯一性；在每次用戶登錄和重新連接系統(tǒng)時(shí)，采用受安全管理中心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。b) 自主訪問控制應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。c) 標(biāo)記和強(qiáng)制訪問控制在對安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過特定操作界面對主、客體進(jìn)行安全標(biāo)記，將強(qiáng)制訪問控制擴(kuò)展到所有主體與客體；應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對確定主體訪問客體的操作進(jìn)行控制。強(qiáng)制訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。d) 系統(tǒng)安全審計(jì)應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲保護(hù)；能對特定安全事件進(jìn)行報(bào)警，終止違例進(jìn)程等；確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。e) 用戶數(shù)據(jù)完整性保護(hù)應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時(shí)能對重要數(shù)據(jù)進(jìn)行恢復(fù)。f) 用戶數(shù)據(jù)保密性保護(hù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。g) 客體安全重用應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露。 h) 程序可信執(zhí)行保護(hù) 應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算等技術(shù)。 安全區(qū)域邊界設(shè)計(jì)技術(shù)要求第四級安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：a) 區(qū)域邊界訪問控制應(yīng)在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。b) 區(qū)域邊界包過濾應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出受保護(hù)的區(qū)域邊界。c) 區(qū)域邊界安全審計(jì)應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，通過安全管理中心集中管理，對確認(rèn)的違規(guī)行為及時(shí)報(bào)警并做出相應(yīng)處置。d) 區(qū)域邊界完整性保護(hù)應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時(shí)報(bào)告安全管理中心。 安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求第四級安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全設(shè)計(jì)：a) 通信網(wǎng)絡(luò)安全審計(jì)應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進(jìn)行報(bào)警，且做出相應(yīng)處置。b) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)。c) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。d) 通信網(wǎng)絡(luò)可信接入保護(hù)應(yīng)采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。 安全管理中心設(shè)計(jì)技術(shù)要求 系統(tǒng)管理應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和異地災(zāi)難備份與恢復(fù)等。 應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計(jì)。 安全管理應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對主體進(jìn)行授權(quán)，配置一致的安全策略，并確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性。 應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。 審計(jì)管理應(yīng)通過安全審計(jì)員對分布在系統(tǒng)各個組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對各類審計(jì)記錄進(jìn)行存儲、管理和查詢等。對審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行及時(shí)處理。 應(yīng)對安全審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作。 系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求 安全保護(hù)部件結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求第四級系統(tǒng)安全保護(hù)環(huán)境各安全保護(hù)部件的設(shè)計(jì)應(yīng)基于形式化的安全策略模型。安全保護(hù)部件應(yīng)劃分為關(guān)鍵安全保護(hù)部件和非關(guān)鍵安全保護(hù)部件，防止違背安全策略致使敏感信息從關(guān)鍵安全保護(hù)部件流向非關(guān)鍵安全保護(hù)部件。關(guān)鍵安全保護(hù)部件應(yīng)劃分功能層次，明確定義功能層次間的調(diào)用接口，確保接口之間的信息安全交換。 安全保護(hù)部件互聯(lián)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求第四級系統(tǒng)各安全保護(hù)部件之間互聯(lián)的接口功能及其調(diào)用關(guān)系應(yīng)明確定義；各安全保護(hù)部件之間互聯(lián)時(shí)，需要通過可信驗(yàn)證機(jī)制相互驗(yàn)證對方的可信性，確保安全保護(hù)部件間的可信連接。 重要參數(shù)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求應(yīng)對第四級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)實(shí)現(xiàn)的與安全策略相關(guān)的重要參數(shù)的數(shù)據(jù)結(jié)構(gòu)給出明確定義，包括參數(shù)的類型、使用描述以及功能說明等，并用可信驗(yàn)證機(jī)制確保數(shù)據(jù)不被篡改。9 第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì) 設(shè)計(jì)目標(biāo)第五級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB 178591999對第五級系統(tǒng)的安全保護(hù)要求，在第四級系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，實(shí)現(xiàn)訪問監(jiān)控器，仲裁主體對客體的訪問，并支持安全管理職能。審計(jì)機(jī)制可根據(jù)審計(jì)記錄及時(shí)分析發(fā)現(xiàn)安全事件并進(jìn)行報(bào)警，提供系統(tǒng)恢復(fù)機(jī)制，以使系統(tǒng)具有更強(qiáng)的抗?jié)B透能力。 設(shè)計(jì)策略第五級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB “訪問監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試”。在設(shè)計(jì)和實(shí)現(xiàn)訪問監(jiān)控器時(shí)，應(yīng)盡力降低其復(fù)雜性；提供系統(tǒng)恢復(fù)機(jī)制；使系統(tǒng)具有更強(qiáng)的抗?jié)B透能力；所設(shè)計(jì)的訪問監(jiān)控器能進(jìn)行必要的分析與測試，具有抗篡改能力。 第五級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過第五級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。 設(shè)計(jì)技術(shù)要求第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)技術(shù)要求另行制定。10 定級系統(tǒng)互聯(lián)設(shè)計(jì) 設(shè)計(jì)目標(biāo)定級系統(tǒng)互聯(lián)的設(shè)計(jì)目標(biāo)是：對相同或不同等級的定級系統(tǒng)之間的互聯(lián)、互通、互操作進(jìn)行安全保護(hù)，確保用戶身份的真實(shí)性、操作的安全性以及抗抵賴性，并按安全策略對信息流向進(jìn)行嚴(yán)格控制，確保進(jìn)出安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。 設(shè)計(jì)策略定級系統(tǒng)互聯(lián)的設(shè)計(jì)策略是：遵循GB 178591999對各級系統(tǒng)的安全保護(hù)要求，在各定級系統(tǒng)的計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全的基礎(chǔ)上，通過安全管理中心增加相應(yīng)的安全互聯(lián)策略，保持用戶身份、主/客體標(biāo)記、訪問控制策略等安全要素的一致性，對互聯(lián)系統(tǒng)之間的互操作和數(shù)據(jù)交換進(jìn)行安全保護(hù)。 設(shè)計(jì)技術(shù)要求 安全互聯(lián)部件設(shè)計(jì)技術(shù)要求應(yīng)通過通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級系統(tǒng)安全保護(hù)環(huán)境的安全通信網(wǎng)絡(luò)部件相連接，并按互聯(lián)互通的安全策略進(jìn)行信息交換，實(shí)現(xiàn)安全互聯(lián)部件。安全策略由跨定級系統(tǒng)安全管理中心實(shí)施。 跨定級系統(tǒng)安全管理中心設(shè)計(jì)技術(shù)要求應(yīng)通過安全通信網(wǎng)絡(luò)部件與各定級系統(tǒng)安全保護(hù)環(huán)境中的安全管理中心相連，主要實(shí)施跨定級系統(tǒng)的系統(tǒng)管理、安全管理和審計(jì)管理。應(yīng)通過系統(tǒng)管理