【正文】 通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點。，在三個方面都有所體現(xiàn)。一級應用安全要求：對應用進行基本的防護，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護。二級應用安全要求：在控制點上增加了安全審計、通信保密性和資源控制等。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求。訪問控制的粒度進行了細化，對通信過程的完整性保護提出了特定的校驗碼技術。應用軟件自身的安全要求進一步增強，軟件容錯能力增強。三級應用安全要求：在控制點上增加了剩余信息保護和抗抵賴等。同時，身份鑒別的力度進一步增強，要求組合鑒別技術，訪問控制增加了敏感標記功能，安全審計已不滿足于對安全事件的記錄，而要進行分析等。對通信過程的完整性保護提出了特定的密碼技術。應用軟件自身的安全要求進一步增強，軟件容錯能力增強，增加了自動保護功能。四級應用安全要求：在控制點上增加了安全標記和可信路徑等。部分控制點在強度上進一步增強，如，身份鑒別要求使用不可偽造的鑒別技術，安全審計能夠做到統(tǒng)一安全策略提供集中審計接口等，軟件應具有自動恢復的能力等。下表表明了應用系統(tǒng)安全在控制點上逐級變化的特點：表32 應用安全層面控制點的逐級變化控制點一級二級三級四級身份鑒別****安全標記*訪問控制****可信路經(jīng)*安全審計***剩余信息保護**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計47911另外兩個特點（要求項增加和要求項強度增強）將在以下控制點描述時具體展開。1. 身份鑒別同主機系統(tǒng)的身份鑒別一樣，應用系統(tǒng)同樣對登錄的用戶進行身份鑒別，以確保用戶在規(guī)定的權限內(nèi)進行操作。該控制點在不同級別主要表現(xiàn)為：一級：主要強調(diào)了該功能的使能性，即，能夠進行簡單的身份鑒別。二級：在一級要求的基礎上，對登錄要求進一步增強，提出了鑒別標識唯一、鑒別信息復雜等要求。三級：在二級要求的基礎上，提出了兩種以上鑒別技術的組合來實現(xiàn)身份鑒別。四級：在三級要求的基礎上，要求其中一種鑒別技術為是不可偽造的。具體見下表33：要求項一級二級三級四級項目a)－c)a)－d)* a)—e) a)b)*—e) 合計34+55+其中，二級中，d)增加了鑒別標志唯一、鑒別信息復雜要求，是增強要求；四級中，b)增加了其中一種鑒別技術為是不可偽造的要求。2. 安全標記在應用系統(tǒng)層面，在高級別系統(tǒng)中要實現(xiàn)強度較強的訪問控制必須要增加安全標記，通過對主體和客體進行標記，主體不能隨意更改權限，權限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求為主體和客體設置安全標記的功能并在安裝后啟用。具體見下表34：要求項一級二級三級四級項目N/AN/AN/Aa) 合計00013. 訪問控制在應用系統(tǒng)中實施訪問控制是為了保證應用系統(tǒng)受控合法地使用。用戶只能根據(jù)自己的權限大小來訪問應用系統(tǒng)，不得越權訪問。該控制點在不同級別主要表現(xiàn)為：一級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗。二級：在一級要求的基礎上，控制粒度細化，增加覆蓋范圍要求，并強調(diào)了最小授權原則，使得用戶的權限最小化。三級：在二級要求的基礎上，增加了對重要信息設置敏感標記，并控制對其的操作。四級：除三級要求外，提出以標記的方式進行應用系統(tǒng)訪問的控制。具體見下表35：要求項一級二級三級四級項目a)－b)a)*－d) a)—f) a)b)c)*—e)合計24+75+ 其中，在二級，a)增加了依據(jù)安全策略控制訪問；四級中，去掉了三級中的e)和f)，提出以標記的方式進行應用系統(tǒng)訪問的控制，c）增加了禁止默認賬戶的訪問，所以盡管比三級要求項減少了，但是強度增強了。4. 可信路徑在計算機系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過應用層作為接口進行會話。但由于應用層并不是能完全信任的，因此在系統(tǒng)的安全功能中，提出了“可信路徑”這一概念（也是桔皮書B2級的安全要求）。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求在用戶進行身份鑒別和訪問時，提供用戶與系統(tǒng)之間可信的安全通信路徑。具體見下表36：要求項一級二級三級四級項目N/AN/AN/Aa) –b)合計00025. 安全審計同主機安全審計相似，應用系統(tǒng)安全審計目的是為了保持對應用系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。應用安全審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)功能執(zhí)行以及系統(tǒng)資源使用情況等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對用戶行為、安全事件等進行記錄。三級：除二級要求外，要求對形成的記錄能夠統(tǒng)計、分析、并生成報表。四級：除三級要求外，要求根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。具體見下表37：要求項一級二級三級四級項目N/Aa)－c)a)b)*—d) a)—e) 合計034+5 其中，三級中，b)增加了無法單獨中斷審計進程要求，所以強度增加。6. 剩余信息保護為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權的訪問，應用系統(tǒng)應對這些剩余信息加以保護。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，應將其完全清除之后，才釋放或重新分配給其他用戶。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求對存放鑒別信息、文件、記錄等存儲空間進行重新使用前的清除。四級：與三級要求相同。具體見下表38：要求項一級二級三級四級項目N/AN/Aa)－b)a)－b)合計00227. 通信完整性許多應用程序通過網(wǎng)絡與最終用戶之間傳遞數(shù)據(jù)，此外還在中間應用程序節(jié)點之間傳遞數(shù)據(jù)，這些數(shù)據(jù)由于與應用有關，多數(shù)帶有機密性，如信用卡號碼或銀行交易明細數(shù)據(jù)等。為了防止發(fā)生意外的信息泄漏，并保護數(shù)據(jù)免受傳輸時擅自修改，就必須確保通信點間的安全性。安全的通信具有以下兩個特點：完整性和保密性。我們首先了解通信完整性。該控制點在不同級別主要表現(xiàn)為：一級：要求通信雙方確定一定的會話方式，從而判斷數(shù)據(jù)的完整性。二級：要求通信雙方利用單向校驗碼技術來判斷數(shù)據(jù)的完整性。三級：要求通信雙方利用密碼技術來判斷數(shù)據(jù)的完整性。四級：與三級要求相同。具體見下表39：要求項一級二級三級四級項目a)a)*a)*a)合計11+1+18. 通信保密性同通信完整性一樣，通信保密性也是保證通信安全的重要方面。它主要確保數(shù)據(jù)處于保密狀態(tài)，不被竊聽。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對建立連接前初始化驗證和通信過程敏感信息加密。三級：在二級要求的基礎上，要求對通信過程加密的范圍擴大為整個報文或會話過程。四級：在三級要求的基礎上，對加解密運算要求設備化。具體見下表40：要求項一級二級三級四級項目N/Aa)—b）a)—b)*a)—c)合計022+3對數(shù)據(jù)加密的范圍由二級的敏感信息擴大為三級的整個報文或會話過程，保密性得到加強。9. 抗抵賴通信完整性和保密性并不能保證通信抗抵賴行為，即，通信雙方或不承認已發(fā)出的數(shù)據(jù)，或不承認已接收到的數(shù)據(jù)，從而無法保證應用的正常進行。必須采取一定的抗抵賴手段，從而防止雙方否認數(shù)據(jù)所進行的交換。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求具有通信雙方提供原發(fā)接收或發(fā)送數(shù)據(jù)的功能。四級：與三級要求相同。具體見下表41：要求項一級二級三級四級項目N/AN/Aa)—b）a)—b）合計002210. 軟件容錯容錯技術是提高整個系統(tǒng)可靠性的有效途徑，通常在硬件配置上，采用了冗余備份的方法，以便在資源上保證系統(tǒng)的可靠性。在軟件設計上，則主要考慮應用程序?qū)﹀e誤（故障）的檢測、處理能力。該控制點在不同級別主要表現(xiàn)為：一級：要求具有基本的數(shù)據(jù)校驗功能。二級：在一級要求的基礎上，要求故障發(fā)生時能夠繼續(xù)運行部分功能。三級：在二級要求的基礎上，要求具有自動保護功能。四級：在三級要求的基礎上，要求具有自動恢復功能。具體見下表42：要求項一級二級三級四級項目a)a)－b)a)—b）*a)—c）合計122+3 三級中，b)項要求在二級的基礎上，提出具有自動保護功能的要求，所以強度增加。11. 資源控制操作系統(tǒng)對同時的連接數(shù)量、打開文件數(shù)量、進程使用內(nèi)存等進行了一定的資源控制，保證資源合理有效的使用，以及防止系統(tǒng)資源被濫用而引發(fā)各種攻擊。同樣，應用程序也有相應的資源控制措施，包括限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當?shù)卿浗K端的操作超時或鑒別失敗時進行鎖定、根據(jù)服務優(yōu)先級分配系統(tǒng)資源等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求單個用戶會話數(shù)量、最大并發(fā)會話數(shù)量的限制。三級：除二級要求外，增加了一段時間內(nèi)的并發(fā)會話數(shù)量、單個賬戶或進程的資源配額、根據(jù)服務優(yōu)先級分配資源以及對系統(tǒng)最小服務進行監(jiān)測和報警的要求。四級：與三級要求相同。具體見下表43：要求項一級二級三級四級項目N/Aa)－c）a)－g)a)－g)合計0377 數(shù)據(jù)安全及備份恢復信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)等）在維持系統(tǒng)正常運行上起著至關重要的作用。一旦數(shù)據(jù)遭到破壞（泄漏、修改、毀壞），都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運行。由于信息系統(tǒng)的各個層面（網(wǎng)絡、主機、應用等）都對各類數(shù)據(jù)進行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持。各個“關口”把好了，數(shù)據(jù)本身再具有一些防御和修復手段，必然將對數(shù)據(jù)造成的損害降至最小。另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災難發(fā)生時可能造成的系統(tǒng)危害。保證數(shù)據(jù)安全和備份恢復主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等三個控制點考慮。，在三個方面都有所體現(xiàn)。一級數(shù)據(jù)安全及備份恢復要求：對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M行備份。二級數(shù)據(jù)安全備份恢復要求：對數(shù)據(jù)完整性的要求增強，范圍擴大，要求鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強，要求一定的硬件冗余。三級數(shù)據(jù)安全備份恢復要求：對數(shù)據(jù)完整性的要求增強，范圍擴大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進行恢復。對數(shù)據(jù)保密性要求范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡拓撲。四級數(shù)據(jù)安全備份恢復要求：為進一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的安全協(xié)議的要求。同時，備份方式增加了建立異地適時災難備份中心，在災難發(fā)生后系統(tǒng)能夠自動切換和恢復。下表表明了數(shù)據(jù)安全在控制點上逐級變化的特點：表44 數(shù)據(jù)安全層面控制點的逐級變化控制點一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復****合計2333另外兩個特點（要求項增加和要求項強度增強）將在以下控制點描述時具體展開。1. 數(shù)據(jù)完整性數(shù)據(jù)完整性主要保證各種重要數(shù)據(jù)在存儲和傳輸過程中免受未授權的破壞。這種保護包括對完整性破壞的檢測和恢復。該控制點在不同級別主要表現(xiàn)為：一級：能夠?qū)τ脩魯?shù)據(jù)在傳輸過程的完整性進行檢測。二級：在一級要求的基礎上，范圍擴大，要求鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中都要保證其完整性。三級：在二級要求的基礎上，范圍又擴大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進行恢復。四級：除三級要求外，要求采用安全、專用的通信協(xié)議。具體見下表45：要求項一級二級三級四級項目a)a)*a)*－b)a)－c)合計11+2+3在二級，a)范圍增加了重要業(yè)務數(shù)據(jù)的傳輸完整性；在三級，a)增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性。2. 數(shù)據(jù)保密性數(shù)據(jù)保密性主要從數(shù)據(jù)的傳輸和存儲兩方面保證各類敏感數(shù)據(jù)不被未授權的訪問，以免造成數(shù)據(jù)泄漏。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求能夠?qū)崿F(xiàn)鑒別信息的存儲保密性。三級：除二級要求外，范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的傳輸和存儲的保密性。四級：除三級要求外，要求采用安全、專用的通信協(xié)議。具體見下表46：要求項一級二級三級四級項目N/Aa)a)－b）*a)－c)合計