【正文】 是：對(duì)相同或不同等級(jí)的定級(jí)系統(tǒng)之間的互聯(lián)、互通、互操作進(jìn)行安全保護(hù)，確保用戶身份的真實(shí)性、操作的安全性以及抗抵賴性，并按安全策略對(duì)信息流向進(jìn)行嚴(yán)格控制，確保進(jìn)出安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。 設(shè)計(jì)技術(shù)要求 安全互聯(lián)部件設(shè)計(jì)技術(shù)要求應(yīng)通過(guò)通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級(jí)系統(tǒng)安全保護(hù)環(huán)境的安全通信網(wǎng)絡(luò)部件相連接，并按互聯(lián)互通的安全策略進(jìn)行信息交換，實(shí)現(xiàn)安全互聯(lián)部件。 跨定級(jí)系統(tǒng)安全管理中心設(shè)計(jì)技術(shù)要求應(yīng)通過(guò)安全通信網(wǎng)絡(luò)部件與各定級(jí)系統(tǒng)安全保護(hù)環(huán)境中的安全管理中心相連，主要實(shí)施跨定級(jí)系統(tǒng)的系統(tǒng)管理、安全管理和審計(jì)管理。應(yīng)通過(guò)安全管理員對(duì)相同和不同等級(jí)的定級(jí)系統(tǒng)中與安全互聯(lián)相關(guān)的主/客體進(jìn)行標(biāo)記管理，使其標(biāo)記能準(zhǔn)確反映主/客體在定級(jí)系統(tǒng)中的安全屬性；對(duì)主體進(jìn)行授權(quán)，配置統(tǒng)一的安全策略，并確保授權(quán)在相同和不同等級(jí)的定級(jí)系統(tǒng)中的合理性。包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開(kāi)啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。附錄A（資料性附錄）訪問(wèn)控制機(jī)制設(shè)計(jì) 自主訪問(wèn)控制機(jī)制設(shè)計(jì)系統(tǒng)在初始配置過(guò)程中，安全管理中心首先需要對(duì)系統(tǒng)中的主體及客體進(jìn)行登記命名，然后根據(jù)自主訪問(wèn)控制安全策略，按照主體對(duì)其創(chuàng)建客體的授權(quán)命令，為相關(guān)主體授權(quán)，規(guī)定主體允許訪問(wèn)的客體和操作，并形成訪問(wèn)控制列表。當(dāng)執(zhí)行程序主體發(fā)出訪問(wèn)系統(tǒng)中客體資源的請(qǐng)求后，自主訪問(wèn)控制安全機(jī)制將截獲該請(qǐng)求，然后查詢對(duì)應(yīng)訪問(wèn)控制列表。 強(qiáng)制訪問(wèn)控制機(jī)制設(shè)計(jì)系統(tǒng)在初始配置過(guò)程中，安全管理中心需要對(duì)系統(tǒng)中的確定主體及其所控制的客體實(shí)施身份管理、標(biāo)記管理、授權(quán)管理和策略管理。標(biāo)記管理根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安全級(jí)別及范疇，生成全局客體安全標(biāo)記列表；同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全級(jí)別及范疇，生成全局主體安全標(biāo)記列表。策略管理則根據(jù)業(yè)務(wù)系統(tǒng)的需求，生成與執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問(wèn)控制策略和級(jí)別調(diào)整策略。系統(tǒng)在初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，經(jīng)過(guò)系統(tǒng)身份認(rèn)證確認(rèn)為授權(quán)主體后，系統(tǒng)將下載全局主/客體安全標(biāo)記列表及與該主體對(duì)應(yīng)的訪問(wèn)控制列表，并對(duì)其進(jìn)行初始化。如果該請(qǐng)求符合系統(tǒng)強(qiáng)制訪問(wèn)控制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問(wèn)。如果上述檢查通過(guò)，系統(tǒng)同樣允許該主體執(zhí)行資源訪問(wèn)，否則，該請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。 附錄B（資料性附錄）第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)示例 功能與流程根據(jù)“一個(gè)中心”管理下的“三重保護(hù)”體系框架，構(gòu)建安全機(jī)制和策略，形成定級(jí)系統(tǒng)的安全保護(hù)環(huán)境。每個(gè)部分由1個(gè)或若干個(gè)子系統(tǒng)（安全保護(hù)部件）組成，子系統(tǒng)具有安全保護(hù)功能獨(dú)立完整、調(diào)用接口簡(jiǎn)潔、與安全產(chǎn)品相對(duì)應(yīng)和易于管理等特征。 各子系統(tǒng)主要功能第三級(jí)系統(tǒng)安全保護(hù)環(huán)境各子系統(tǒng)的主要功能如下：a) 節(jié)點(diǎn)子系統(tǒng) 節(jié)點(diǎn)子系統(tǒng)通過(guò)在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強(qiáng)制訪問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成防護(hù)層，通過(guò)對(duì)用戶行為的控制，可以有效防止非授權(quán)用戶訪問(wèn)和授權(quán)用戶越權(quán)訪問(wèn)，確保信息和信息系統(tǒng)的保密性和完整性，為典型應(yīng)用支撐子系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。通過(guò)接口平臺(tái)使應(yīng)用系統(tǒng)的主客體與保護(hù)環(huán)境的主客體相對(duì)應(yīng)，達(dá)到訪問(wèn)控制策略實(shí)現(xiàn)的一致性。d) 通信網(wǎng)絡(luò)子系統(tǒng) 通信網(wǎng)絡(luò)子系統(tǒng)通過(guò)對(duì)通信數(shù)據(jù)包的保密性和完整性的保護(hù)，確保其在傳輸過(guò)程中不會(huì)被非授權(quán)竊聽(tīng)和篡改，以保障數(shù)據(jù)在傳輸過(guò)程中的安全。f) 安全管理子系統(tǒng) 安全管理子系統(tǒng)是系統(tǒng)的安全控制中樞，主要實(shí)施標(biāo)記管理、授權(quán)管理及策略管理等。g) 審計(jì)子系統(tǒng) 審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞。 各子系統(tǒng)主要流程 第三級(jí)系統(tǒng)安全保護(hù)環(huán)境的結(jié)構(gòu)與流程可以分為安全管理流程與訪問(wèn)控制流程。訪問(wèn)控制流程則在系統(tǒng)運(yùn)行時(shí)執(zhí)行，實(shí)施自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制等。其中，系統(tǒng)管理員首先需要為定級(jí)系統(tǒng)中的所有用戶實(shí)施身份管理，即確定所有用戶的身份、工作密鑰、證書(shū)等。安全管理員需要通過(guò)安全管理中心為定級(jí)系統(tǒng)中所有主、客體實(shí)施標(biāo)記管理，即根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定其安全級(jí)，生成全局客體安全標(biāo)記列表。在此基礎(chǔ)上，安全管理員需要根據(jù)系統(tǒng)需求和安全狀況，為主體實(shí)施授權(quán)管理，即授予用戶訪問(wèn)客體資源的權(quán)限，生成強(qiáng)制訪問(wèn)控制列表和級(jí)別調(diào)整策略列表。如果定級(jí)系統(tǒng)需要和其它系統(tǒng)進(jìn)行互聯(lián)，則上述初始化流程需要結(jié)合跨定級(jí)系統(tǒng)安全管理中心制定的策略執(zhí)行。為了確保計(jì)算節(jié)點(diǎn)的系統(tǒng)完整性，節(jié)點(diǎn)子系統(tǒng)在啟動(dòng)時(shí)需要對(duì)所裝載的可執(zhí)行代碼進(jìn)行可信驗(yàn)證，確保其在可執(zhí)行代碼預(yù)期值列表中，并且程序完整性沒(méi)有遭到破壞。在此過(guò)程中，系統(tǒng)首先裝載代表用戶身份唯一標(biāo)識(shí)的硬件令牌，然后獲取其中的用戶信息，進(jìn)而驗(yàn)證登錄用戶是否是該節(jié)點(diǎn)上的授權(quán)用戶。下載成功后，系統(tǒng)可信計(jì)算基將確定執(zhí)行主體的數(shù)據(jù)結(jié)構(gòu)，并初始化用戶工作空間。c) 計(jì)算節(jié)點(diǎn)訪問(wèn)控制流程用戶啟動(dòng)應(yīng)用形成執(zhí)行主體后，執(zhí)行主體將代表用戶發(fā)出訪問(wèn)本地或網(wǎng)絡(luò)資源的請(qǐng)求，該請(qǐng)求將被操作系統(tǒng)訪問(wèn)控制模塊截獲。如果自主訪問(wèn)控制策略符合性檢查通過(guò)，則該請(qǐng)求允許被執(zhí)行；否則，訪問(wèn)控制模塊依據(jù)強(qiáng)制訪問(wèn)控制策略對(duì)該請(qǐng)求執(zhí)行策略符合性檢查。即依照級(jí)別調(diào)整檢查策略，判斷發(fā)出該請(qǐng)求的主體是否有權(quán)訪問(wèn)該客體。 系統(tǒng)訪問(wèn)控制機(jī)制在安全決策過(guò)程中，需要根據(jù)安全審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求及決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供安全審計(jì)員檢查和處理。在進(jìn)行接入檢查前，模塊首先通知系統(tǒng)安全代理獲取對(duì)方計(jì)算節(jié)點(diǎn)的身份，并檢驗(yàn)其安全性。如果檢查通過(guò)，該請(qǐng)求被放行；否則，該請(qǐng)求被拒絕。 子系統(tǒng)間接口 綜述 為了清楚描述各子系統(tǒng)之間的關(guān)系。其它子系統(tǒng)之間則通過(guò)可靠的網(wǎng)絡(luò)傳輸協(xié)議，按照規(guī)定的接口協(xié)議傳輸策略數(shù)據(jù)、審計(jì)數(shù)據(jù)以及其他安全保護(hù)環(huán)境數(shù)據(jù)等。 數(shù)據(jù)包由包頭、附加項(xiàng)和數(shù)據(jù)內(nèi)容三部分組成，其中包頭為32字節(jié)，定義了標(biāo)志、版本號(hào)、接口類型、標(biāo)記位以及內(nèi)容和附加項(xiàng)長(zhǎng)度等。 數(shù)據(jù)包各數(shù)據(jù)項(xiàng)說(shuō)明如下： 標(biāo)志（4字節(jié)）： 用于標(biāo)識(shí)等級(jí)保護(hù)相關(guān)的數(shù)據(jù)流，此標(biāo)志可以作為區(qū)別等級(jí)保護(hù)數(shù)據(jù)包的依據(jù)。其中前兩個(gè)字節(jié)表示主版本號(hào)。 標(biāo)記位 (4字節(jié))：表述數(shù)據(jù)包屬性標(biāo)志。 SIG：表示數(shù)據(jù)包是否有簽名保護(hù)，0為無(wú)簽名，1為有簽名。 CHK：表示數(shù)據(jù)包是否需要校驗(yàn)，0為不校驗(yàn)，1為校驗(yàn)。 內(nèi)容長(zhǎng)度（4字節(jié)）：表示數(shù)據(jù)包內(nèi)容部分長(zhǎng)度，以字節(jié)為單位。 保留（8字節(jié)）：作為數(shù)據(jù)包擴(kuò)展保留。 附加項(xiàng)類型（4字節(jié)）：表示附加項(xiàng)的類型。 下面按照接口對(duì)應(yīng)的數(shù)據(jù)包類型介紹數(shù)據(jù)內(nèi)容部分，表格中不含包頭和附加項(xiàng)。 類型：請(qǐng)求數(shù)據(jù)包。 客戶端向服務(wù)器發(fā)起TCP連接。 類型：策略下發(fā)數(shù)據(jù)包。 。 類型：審計(jì)記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式。 。 類型：可信接入申請(qǐng)包、可信接入應(yīng)答包、可信接入確認(rèn)包?？尚沤尤胧窃趫?zhí)行跨節(jié)點(diǎn)間訪問(wèn)時(shí)，客體所在節(jié)點(diǎn)驗(yàn)證主體所在節(jié)點(diǎn)可信性的過(guò)程。首先是訪問(wèn)發(fā)起方所在節(jié)點(diǎn)向訪問(wèn)應(yīng)答方所在節(jié)點(diǎn)提出可信接入申請(qǐng)包，應(yīng)答方所在節(jié)點(diǎn)驗(yàn)證申請(qǐng)包后向發(fā)起方所在節(jié)點(diǎn)發(fā)送可信接入應(yīng)答包，由發(fā)起方所在節(jié)點(diǎn)驗(yàn)證應(yīng)答包成功后，返回可信接入確認(rèn)包。 。 重要數(shù)據(jù)結(jié)構(gòu) 重要數(shù)據(jù)結(jié)構(gòu)列表 。 UINT32 RootCertLen。 UINT32 UserCertLen。 UINT32 UserSigKeyLen。 BYTE * WorkKey。 BYTE * UserEncKey。 BYTE Reserved [256]。 。 BYTE * sSubName。 BYTE * sGroupName。 BYTE InteLevel。 BYTE SubType。 。BYTE * sObjName。 BYTE InteLevel。 BYTE ObjType。 。 BYTE * sSubName。 BYTE * sObjName。 } DAC_Label。 級(jí)別調(diào)整策略列表 typedef struct tagPriviledge_List { UINT32 SubNameLength。 UINT32 ObjNameLength。 BYTE OperateType。 BYTE * sAuthOwnerName。 。 BYTE Month[2]。 BYTE Hour[2]。 BYTE Sec[2]。 } APTIME。 UINT16 iType。 SHORT IsOn。 APTIME EndTime。 } AUDIT_POLICY_TERM,*PAUDIT_POLICY_TERM。 審計(jì)記錄typedef struct audit_label{ BYTE Name[21]。 BYTE InteLevel。 BYTE Type。 typedef struct tagAudit_Record { UINT16 NodeID。 UINT32 Time。 ALABEL ObjLabel。 Byte Reserved[6]。