【正文】 的安全問題加以改進(jìn)。 運(yùn)行時(shí)防護(hù) ，設(shè)計(jì)與實(shí)現(xiàn)如下功能：a）惡意代碼防護(hù)：，實(shí)現(xiàn)外來介質(zhì)使用控制、特征碼掃描、基于CPU的數(shù)據(jù)執(zhí)行保護(hù)的功能；b）網(wǎng)絡(luò)攻擊防護(hù)：，實(shí)現(xiàn)IP過濾、網(wǎng)絡(luò)協(xié)議分析、應(yīng)用程序監(jiān)控、內(nèi)容過濾的防火墻的功能。 可信計(jì)算平臺 密碼支持 ，按以下要求，設(shè)計(jì)與實(shí)現(xiàn)安全標(biāo)記級終端計(jì)算機(jī)系統(tǒng)密碼支持功能：a）密碼算法：應(yīng)采用國家有關(guān)部門批準(zhǔn)的密碼算法，應(yīng)采用硬件實(shí)現(xiàn)密碼算法；b）密碼操作：秘鑰生成、數(shù)字簽名與驗(yàn)證等關(guān)鍵密碼操作應(yīng)基于密碼硬件支持；c）秘鑰管理：所有秘鑰應(yīng)受存儲根保護(hù)，存儲根本身應(yīng)由安全硬件保護(hù)。 操作系統(tǒng) 應(yīng)按GB/T 20272—，從以下方面來設(shè)計(jì)、實(shí)現(xiàn)或選購系統(tǒng)安全標(biāo)記保護(hù)級終端計(jì)算機(jī)系統(tǒng)所需要的操作系統(tǒng)。 第三級：安全標(biāo)記保護(hù)級 安全功能要求 物理系統(tǒng) 設(shè)備安全可用，設(shè)計(jì)和實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)設(shè)備安全可用的功能。 安全保證要求 SSOTCS自身安全保護(hù)a）可信根安全保護(hù)：應(yīng)按以下要求實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)的可信根：存儲根和報(bào)告根應(yīng)設(shè)置在可信硬件模塊內(nèi)；可信硬件模塊應(yīng)通過國家專門機(jī)構(gòu)測評認(rèn)證；應(yīng)對度量根采取物理保護(hù)措施；b）SSF物理安全保護(hù)：應(yīng)按以下要求實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級SSF的物理安全保護(hù)；應(yīng)按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)驗(yàn)資保護(hù)級SSF的物理安全保護(hù)；c）SSF運(yùn)行安全保護(hù)：應(yīng)按以下要求實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級SSF的運(yùn)行安全保護(hù)；應(yīng)按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級SSF的運(yùn)行安全保護(hù)；應(yīng)采取適當(dāng)?shù)氖щ姳Ｗo(hù)措施，確保在終端計(jì)算機(jī)系統(tǒng)推出休眠或待機(jī)狀態(tài)后，能恢復(fù)到推出工作狀態(tài)前的配置，確保信任鏈系統(tǒng)仍能正常工作；d）SSF數(shù)據(jù)安全保護(hù)：宜按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級SSF的數(shù)據(jù)安全保護(hù)；e）資源利用：宜按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的資源利用；f）SSOTCS訪問控制：宜按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的SSOTCS訪問控制； SSOTCS設(shè)計(jì)和實(shí)現(xiàn)a）配置管理：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的配置管理；b）分發(fā)和操作：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的分發(fā)和操作；c）開發(fā)：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的開發(fā)；d）指導(dǎo)性文檔：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的指導(dǎo)性文檔；e）生命周期支持：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的生命周期支持；f）測試：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)審計(jì)保護(hù)級的測試。 I/O接口配置 ，設(shè)計(jì)和實(shí)現(xiàn)I/O接口配置功能。 安全審計(jì) ，按GB/T 20271—，從以下方面設(shè)計(jì)與實(shí)現(xiàn)可信計(jì)算平臺的安全審計(jì)功能：a）安全審計(jì)功能的設(shè)計(jì)應(yīng)與密碼支持、身份標(biāo)識與鑒別、自主訪問控制、數(shù)據(jù)保密性保護(hù)、用戶數(shù)據(jù)完整性保護(hù)、信任服務(wù)等安全功能的設(shè)計(jì)緊密結(jié)合；b）支持審計(jì)日志；支持安全審計(jì)事件產(chǎn)生；支持潛在侵害分析；支持基本審計(jì)查閱；提供審計(jì)事件選擇和受保護(hù)的審計(jì)蹤跡存儲；c）能夠生產(chǎn)、維護(hù)及保護(hù)審計(jì)過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計(jì)數(shù)據(jù)，要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問；d）能夠創(chuàng)建并維護(hù)一個(gè)對受保護(hù)客體訪問的審計(jì)跟蹤，保護(hù)審計(jì)記錄不被未授權(quán)的訪問、修改和破壞。 數(shù)據(jù)保密性保護(hù)，從以下方面設(shè)計(jì)和實(shí)現(xiàn)可信計(jì)算平臺的數(shù)據(jù)保密性保護(hù)功能：a），對需要進(jìn)行存儲保密性保護(hù)的數(shù)據(jù)，采用存儲加密的措施，設(shè)計(jì)和實(shí)現(xiàn)數(shù)據(jù)存儲保密性保護(hù)功能；b），對需要進(jìn)行傳輸保密性保護(hù)的數(shù)據(jù)，采用傳輸加密的措施，設(shè)計(jì)和實(shí)現(xiàn)數(shù)據(jù)傳輸保密性保護(hù)功能。 用戶身份標(biāo)識與鑒別 ，從以下方面設(shè)計(jì)與實(shí)現(xiàn)可信計(jì)算平臺身份標(biāo)識與鑒別功能：a），設(shè)計(jì)與實(shí)現(xiàn)用戶的基本標(biāo)識、唯一性標(biāo)識與標(biāo)識信息管理功能；b），設(shè)計(jì)與實(shí)現(xiàn)用戶的基本鑒別、不可偽造鑒別功能；c），支持以數(shù)字證書形式提供鑒別信息；d），設(shè)計(jì)與實(shí)現(xiàn)用戶鑒別失敗處理功能；e），設(shè)計(jì)與實(shí)現(xiàn)用戶主體綁定功能。 系統(tǒng)安全性檢測分析 ，運(yùn)用有關(guān)工具，檢測所選用或開發(fā)的操作系統(tǒng)，并通過對檢測結(jié)果的分析，按用戶自主保護(hù)級的要求，對存在的安全問題加以改進(jìn)。 信任鏈 ，基于可信硬件模塊設(shè)計(jì)和實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)的靜態(tài)信任鏈功能。a）身份鑒別：根據(jù)GB/T 20272—，實(shí)現(xiàn)操作系統(tǒng)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 20272—，對操作系統(tǒng)的訪問進(jìn)行控制，允許合法操作，不允許非法操作；c）安全審計(jì)：根據(jù)GB/T 20272—，提供操作系統(tǒng)安全審計(jì)功能；d）用戶數(shù)據(jù)保密性：根據(jù)GB/T 20272—，設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能；e）用戶數(shù)據(jù)完整性：根據(jù)GB/T 20272—，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。 設(shè)備防盜防毀 ，設(shè)計(jì)和實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)設(shè)備防盜防毀的功能。 SSOTCS管理 按GB/T 20271—2006 ，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)洪湖自主保護(hù)級的SSOTCS安全管理。f）SSOTCS訪問控制：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)用戶自主保護(hù)級的SSOTCS訪問控制。d）SSF數(shù)據(jù)安全保護(hù)：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)用戶自主保護(hù)級SSF的數(shù)據(jù)安全保護(hù)。b）SSF物理安全保護(hù)：按GB/T 20271—，實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)用戶自主保護(hù)級SSF的物理安全保護(hù)。c）數(shù)據(jù)完整性保護(hù)：根據(jù)GB/T 20271—，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。 I/O接口配置 ，設(shè)計(jì)和實(shí)現(xiàn)I/O接口配置功能。 系統(tǒng)安全性檢測分析 ，運(yùn)用有關(guān)工具，檢測所選用或開發(fā)的操作系統(tǒng)，并通過對檢測結(jié)果的分析，按用戶自主保護(hù)級的要求，對存在的安全問題加以改進(jìn)。 靜態(tài)信任鏈所建立的度量值應(yīng)存儲在一個(gè)手保護(hù)的區(qū)域中。 可信計(jì)算平臺 密碼支持 ，按以下要求，設(shè)計(jì)與實(shí)現(xiàn)自主保護(hù)級終端計(jì)算機(jī)系統(tǒng)密碼支持功能：a）密碼算法：應(yīng)采用國家有關(guān)部門批準(zhǔn)的密碼算法，利用軟件實(shí)現(xiàn)相關(guān)密碼算法和密碼操作；b）秘鑰管理：所有秘鑰應(yīng)受存儲根保護(hù)。a）用戶身份標(biāo)識與鑒別：根據(jù)GB/T 20272—，實(shí)現(xiàn)操作系統(tǒng)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 20272—，對操作系統(tǒng)的訪問進(jìn)行控制，允許合法操作，不允許非法操作。 設(shè)備防盜防毀 ，設(shè)計(jì)和實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)設(shè)備防盜防毀的功能。c）SSF應(yīng)對原發(fā)用戶的鑒別、內(nèi)部命令、所有用戶命令和SSF響應(yīng)使用可信路徑。 可信路徑用戶與SSF之間的可信路徑應(yīng)滿足：a）SSF應(yīng)在SSF和本地或遠(yuǎn)程用戶之間提供一個(gè)通信路徑，通信路徑之間彼此邏輯獨(dú)立，提供真實(shí) 的端點(diǎn)標(biāo)識，并保護(hù)通信數(shù)據(jù)免遭修改和泄露。所有度量值存取訪問應(yīng)受權(quán)限控制。 應(yīng)通過適當(dāng)組合各模塊的度量值，作為系統(tǒng)信任報(bào)告或系統(tǒng)特征綁定的依據(jù)。 信任服務(wù) 信任服務(wù)是指終端計(jì)算機(jī)系統(tǒng)運(yùn)行時(shí)對自身進(jìn)行完整性度量，并將度量值向系統(tǒng)用戶或系統(tǒng)外部實(shí)體進(jìn)行可信報(bào)告的服務(wù)，即由報(bào)告根對度量值進(jìn)行數(shù)據(jù)簽名后，呈現(xiàn)給驗(yàn)證者。b）數(shù)據(jù)交換恢復(fù)：由接收者SSOTCS借助于源可信信息系統(tǒng)提供的信息，或由接受者SSCTCS自己無需來自源可信信息系統(tǒng)的任何幫助，能恢復(fù)被破壞的數(shù)據(jù)為原始的用戶數(shù)據(jù)。b）完整性檢測和恢復(fù)：要求SSF應(yīng)對基于用戶屬性的所有客體，對存儲在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性檢測，并且當(dāng)檢測到完整性錯(cuò)誤時(shí)，SSF應(yīng)采取必要的恢復(fù)措施。根據(jù)不同安全等級對用戶數(shù)據(jù)保密性保護(hù)的不同要求，客體安全重用分為：a）子集信息保護(hù)：有SSOTCS安全控制范圍之內(nèi)的某個(gè)子集的客體資源，在將其釋放后再分配給某一用戶或代表該用戶運(yùn)行的進(jìn)程時(shí)，應(yīng)不會(huì)泄露該客體中的原有信息；b）完全信息保護(hù)：有SSOTCS安全控制范圍之內(nèi)的所有客體資源，在將其釋放后再分配給某一用戶或代表該用戶運(yùn)行的進(jìn)程時(shí)，應(yīng)不會(huì)泄露該客體中的原有信息；c）特殊信息保護(hù)：在完全信息保護(hù)的基礎(chǔ)上，對于某些需要特別保護(hù)的信息，應(yīng)采用專門的方法對客體資源中的殘留信息做徹底清除，如對剩磁的清除等。a）數(shù)據(jù)加密：應(yīng)確保加密后的數(shù)據(jù)由秘鑰的合法持有者解密；b）數(shù)據(jù)綁定：基于存儲根實(shí)現(xiàn)對數(shù)據(jù)的保密存儲，應(yīng)確保數(shù)據(jù)由秘鑰的合法持有者在特定終端計(jì)算機(jī)系統(tǒng)中解密；c）數(shù)據(jù)密封：基于存儲根實(shí)現(xiàn)對數(shù)據(jù)的保密存儲，應(yīng)確保數(shù)據(jù)由秘鑰的合法持有者在特定終端計(jì)算機(jī)系統(tǒng)的特定狀態(tài)下解密； 數(shù)據(jù)傳輸保密性對在不同SSF之間傳輸?shù)挠脩魯?shù)據(jù)，應(yīng)根據(jù)不同數(shù)據(jù)類型的不同保密性要求，進(jìn)行不同程度的保密性保護(hù)，確保數(shù)據(jù)在傳輸過程中不被泄露和竊取。b）完全訪問控制：要求美國確定的強(qiáng)制訪問控制，應(yīng)覆蓋終端計(jì)算機(jī)系統(tǒng)中所有的主體、客體及其之間的操作，即要求終端計(jì)算機(jī)系統(tǒng)中的任意一個(gè)主體和任意一個(gè)客體之間的所有操作將至少被一個(gè)確定的訪問控制策略覆蓋。應(yīng)有能力提供：在標(biāo)記或命名的標(biāo)記組的客體上，執(zhí)行訪問控制策略。可以有多個(gè)訪問控制安全策略，但他們應(yīng)獨(dú)立命名，且不應(yīng)相互沖突。應(yīng)為客體指定敏感標(biāo)記，這些敏感標(biāo)記是等級分類和非等級類別的組合，是實(shí)施強(qiáng)制訪問控制的依據(jù)?？腕w包含或者接收主體關(guān)心的信息。應(yīng)為主體分配標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，是實(shí)施強(qiáng)制訪問控制的依據(jù)。 訪問控制粒度根據(jù)不同安全等級的不同要求，自主訪問控制的粒度分為： a）主體為用戶組/用戶級，客體為文件級；b）主體為用戶級，客體為文件級； 標(biāo)記 主體標(biāo)記主體是指主動(dòng)的實(shí)體，是SSC內(nèi)發(fā)起的操作的實(shí)體。 訪問控制范圍根據(jù)不同安全等級的不同要求，自主訪問控制的覆蓋范圍分為： a）子集訪問控制：要求美國確定的自主訪問控制，SSF 應(yīng)覆蓋由SSOTCS所定義的主體、客體及其操作之間的操作。在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎(chǔ)上，允許主體對客體的訪問。 訪問控制功能應(yīng)明確指出采用一條命名的訪問控制策略所實(shí)現(xiàn)的特定功能，說明策略的使用和特征，以及該策略的控制范圍。可以有多個(gè)自主訪問控制安全策略，但他們應(yīng)獨(dú)立命名，且不應(yīng)相互沖突?？赏ㄟ^將不可觀察性信息分配給SSF的不同部分等方法實(shí)現(xiàn)。d）不可觀察性：用戶在使用資源和服務(wù)時(shí)，其他人，特別是第三方不能觀察到該資源和服務(wù)正在被使用。c）不可關(guān)聯(lián)性：一個(gè)用戶可以多次使用資源和服務(wù)，但任何人都不能將這些使用聯(lián)系在一起。要求SSF應(yīng)確保用戶和/或主體集，無法確定與主體和/或操作相關(guān)聯(lián)的實(shí)際用戶，并在對主體提供服務(wù)時(shí)不詢問實(shí)際的用戶名；b）假名：用戶在使用資源或設(shè)備時(shí)，不暴露其真實(shí)名稱，但仍能對該次使用負(fù)責(zé)。 用戶主體綁定 在SSC之內(nèi)，對一個(gè)已標(biāo)識和鑒別的用戶，為了要求SSF完成某個(gè)任務(wù)，需要激活另一個(gè)主體（如進(jìn)程），這時(shí)，要求通過用戶主體綁定將該用戶與該主體相關(guān)聯(lián)，從而將用戶的身份與該用戶的所有可審計(jì)行為相關(guān)聯(lián)。鑒別失敗的處理應(yīng)包括檢測出現(xiàn)相關(guān)的不成功鑒別嘗試的次數(shù)與所規(guī)定的數(shù)目相同的情況，并進(jìn)行預(yù)先定義的處理。例如,用戶操作超時(shí)被斷開后，重新連接時(shí)需要進(jìn)行鑒別。c）一次性使用鑒別：應(yīng)能提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制，即SSF應(yīng)防止與已標(biāo)識過的鑒別機(jī)制有關(guān)的鑒別數(shù)據(jù)的重用。b）不可偽造鑒別：應(yīng)檢測并防止使用偽造或復(fù)制的鑒別信息。通過對用戶所提供的“鑒別信息”的驗(yàn)證，證明該用戶確有所聲稱的某種身份，這里“鑒別信息”可以是用戶口令、數(shù)字證書、IC卡、指紋、虹膜等。根據(jù)不同安全等級的不同要求，用戶標(biāo)識分為： a）基本標(biāo)識：應(yīng)在SSF實(shí)施所要求的動(dòng)作之前，先對提出該動(dòng)作得要求的用戶進(jìn)行標(biāo)識；b）唯一性標(biāo)識：應(yīng)確保所標(biāo)識用戶在信息系統(tǒng)生命周期內(nèi)的唯一性，并將用戶標(biāo)識與審計(jì)相關(guān)聯(lián)；c）標(biāo)識信息管理：應(yīng)對用戶標(biāo)識信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)地訪問、修改或刪除。d）標(biāo)識信息管理：應(yīng)對終端計(jì)算機(jī)系統(tǒng)身份標(biāo)識信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)的訪問、修改或刪除。（GB/T ） 身份標(biāo)識與鑒別 系統(tǒng)標(biāo)識 終端計(jì)算機(jī)系統(tǒng)應(yīng)在用戶使用之前對系統(tǒng)進(jìn)行身份標(biāo)識： a）唯一性標(biāo)識：應(yīng)通過唯一綁定的可信硬件模塊產(chǎn)生的秘鑰來標(biāo)識系統(tǒng)身份；系統(tǒng)身份標(biāo)識應(yīng)與審計(jì)相關(guān)聯(lián)；b）標(biāo)識可信性：身份標(biāo)識可信性應(yīng)通過權(quán)威機(jī)構(gòu)頒發(fā)證書來實(shí)現(xiàn)；c）隱秘性：需要時(shí)應(yīng)使系統(tǒng)身份標(biāo)識在某些特定條件下具有不可關(guān)聯(lián)性。 秘鑰管理應(yīng)對密碼操作所使用的秘鑰進(jìn)行全生命周期管理，包括秘鑰生成、秘鑰交換、秘鑰存取、秘鑰廢除。 根據(jù)不同安全等級的不同要求，密碼算法實(shí)現(xiàn)分為： a）密碼算法采用軟件實(shí)現(xiàn)；b）密碼算法采用硬件實(shí)現(xiàn)。 數(shù)據(jù)安全 密碼支持 密碼算法要求應(yīng)采用國家有關(guān)主管部門批準(zhǔn)的密碼算法及使用指南來實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)密碼支持功能。 可信時(shí)間戳 終端計(jì)算機(jī)系統(tǒng)應(yīng)為其運(yùn)行提供可靠的始終和時(shí)鐘同步系統(tǒng)，并按GB/T 20271—2006的要求提供可信時(shí)間戳服務(wù)。c）局部系統(tǒng)備份與恢復(fù)：應(yīng)提供定期對終端計(jì)算機(jī)系統(tǒng)的某些重要的局部系統(tǒng)的運(yùn)行現(xiàn)場進(jìn)行定期備份的功能；當(dāng)由于某種原因引起終端計(jì)算機(jī)系統(tǒng)某一局部發(fā)生故障時(shí)，應(yīng)提供用戶按局部系統(tǒng)備份所保留的現(xiàn)場信息進(jìn)行局部系統(tǒng)恢復(fù)的功能。 備份與故障恢復(fù) 為了實(shí)現(xiàn)確定的恢復(fù)功能，應(yīng)在終端計(jì)算機(jī)系統(tǒng)正常運(yùn)行時(shí)定期的或按某種條件實(shí)施備份。 b）入侵檢測功能： 實(shí)時(shí)阻斷：及時(shí)阻斷嚴(yán)重的碗里入侵行為； 文件監(jiān)控：防止用戶對保護(hù)文件的非法訪問與誤操作； 注冊表監(jiān)控：防止用戶對注冊表的非法訪問與誤操作； 事件監(jiān)測：及時(shí)