信息系统等级保护安全设计技术要求.doc

/*信息系统等级保护安全设计技术要求引 言中华人民共和国计算机信息系统安全保护条例（国务院令第147号）明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求制订发布的强制性国家标准计算机信息系统安全保护等级划分准则（GB17859-1999）为计算机信息系统安全保护等级的划分奠定了技术基础。国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。关于信息安全等级保护工作的实施意见（公通字200466号）和信息安全等级保护管理办法（公通字200743号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。 上述信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准依据。 2007年7月全国开展重要信息系统等级保护定级工作，标志着信息安全等级保护工作在我国全面展开。在开展信息安全等级保护定级和备案工作基础上，各单位、各部门正在按照信息安全等级保护有关政策规定和技术标准规范，开展信息系统安全建设和加固工作，建立、健全信息安全管理制度，落实安全保护技术措施，全面贯彻落实信息安全等级保护制度。为了配合信息系统安全建设和加固工作，特制订本标准。 本标准规范了信息系统等级保护安全设计技术要求，包括第一级至第五级系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求，以及定级系统互联的设计技术要求。涉及物理安全、安全管理、安全运维等方面的要求分别参见参考文献9、2、7、10等。进行安全技术设计时，要根据信息系统定级情况，确定相应安全策略，采取相应级别的安全保护措施。在第五章至第九章中，每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和增强的部分，用“黑体”表示。 信息安全技术 信息系统等级保护安全设计技术要求1 范围本标准依据国家信息安全等级保护的要求，规范了信息系统等级保护安全设计技术要求。 本标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施，也可作为信息安全职能部门进行监督、检查和指导的依据。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 定级系统 classified system 按照参考文献11已确定安全保护等级的信息系统。定级系统分为第一级、第二级、第三级、第四级和第五级信息系统。 3.2 定级系统安全保护环境 security environment of classified system 由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。 定级系统安全保护环境包括第一级系统安全保护环境、第二级系统安全保护环境、第三级系统安全保护环境、第四级系统安全保护环境、第五级系统安全保护环境以及定级系统的安全互联。3.3 安全计算环境 secure computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境、第四级安全计算环境和第五级安全计算环境。 3.4 安全区域边界 secure area boundary 对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。 安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。3.5 安全通信网络 secure communication network 对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。 3.6 安全管理中心 security management center 对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。 第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心，称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。 3.7 跨定级系统安全管理中心 security management center for cross classified system 跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。 3.8 定级系统互联 classified system interconnection 通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。4 信息系统等级保护安全技术设计概述信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，如图1所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。本标准以下章节，对图1各个部分提出了相应的设计技术要求（第五级信息安全保护环境的设计要求除外）。附录A给出了访问控制机制设计，附录B给出了第三级系统安全保护环境设计示例。5 第一级系统安全保护环境设计5.1 设计目标第一级系统安全保护环境的设计目标是：按照GB 17859-1999对第一级系统的安全保护要求，实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。5.2 设计策略第一级系统安全保护环境的设计策略是：遵循GB 17859-1999的4.1中相关要求，以身份鉴别为基础，提供用户和（或）用户组对文件及数据库表的自主访问控制，以实现用户与数据的隔离，使用户具备自主安全保护的能力；以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。 第一级系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。5.3 设计技术要求5.3.1 安全计算环境设计技术要求第一级安全计算环境从以下方面进行安全设计：a) 用户身份鉴别 应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份；在每次用户登录系统时，采用口令鉴别机制进行用户身份鉴别，并对口令数据进行保护。b) 自主访问控制 应在安全策略控制范围内，使用户/用户组对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户/用户组。访问控制主体的粒度为用户/用户组级，客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c) 用户数据完整性保护 可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。 d) 恶意代码防范 应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码。5.3.2 安全区域边界设计技术要求第一级安全区域边界从以下方面进行安全设计：a) 区域边界包过滤 可根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。b) 区域边界恶意代码防范 可在安全区域边界设置防恶意代码软件，并定期进行升级和更新，以防止恶意代码入侵。5.3.3 安全通信网络设计技术要求a) 通信网络数据传输完整性保护可采用常规校验机制，检验通信网络数据传输的完整性，并能发现其完整性被破坏。6 第二级系统安全保护环境设计6.1 设计目标第二级系统安全保护环境的设计目标是：按照GB 17859-1999对第二级系统的安全保护要求，在第一级系统安全保护环境的基础上，增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力。6.2 设计策略第二级系统安全保护环境的设计策略是：遵循GB 17859-1999的4.2中相关要求，以身份鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表等的自主访问控制；以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段，同时通过增加系统安全审计、客体安全重用等功能，使用户对自己的行为负责，提供用户数据保密性和完整性保护，以增强系统的安全保护能力。 第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。6.3 设计技术要求6.3.1 安全计算环境设计技术要求第二级安全计算环境从以下方面进行安全设计：a) 用户身份鉴别应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。b) 自主访问控制应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c) 系统安全审计应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护，并可由安全管理中心管理。d) 用户数据完整性保护可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。e) 用户数据保密性保护可采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。f) 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。g) 恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码。6.3.2 安全区域边界设计技术要求第二级安全区域边界从以下方面进行安全设计：a) 区域边界包过滤应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。b) 区域边界安全审计应在安全区域边界设置审计机制，并由安全管理中心统一管理。c) 区域边界恶意代码防范应在安全区域边界设置防恶意代码网关，由安全管理中心管理。d) 区域边界完整性保护应在区域边界设置探测器，探测非法外联等行为，并及时报告安全管理中心。6.3.3 安全通信网络设计技术要求第二级安全通信网络从以下方面进行安全设计：a) 通信网络安全审计应在安全通信网络设置审计机制，由安全管理中心管理。b) 通信网络数据传输完整性保护可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护。c) 通信网络数据传输保密性保护可采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。6.3.4 安全管理中心设计技术要求6.3.4.1 系统管理可通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。6.3.4.2 审计管理可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。 应对安全审计员进行身份鉴别，并只允许其通过特定的命令或操作界面进行安全审计操作。7 第三级系统安全保护环境设计7.1 设计目标第三级系统安全保护环境的设计目标是：按照GB 17859-1999对第三级系统的安全保护要求，在第二级系统安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。7.2 设计策略第三级系统安全保护环境的设计策略是：在第二级系统安全保护环境的基础上，遵循GB 17859-1999的4.3中相关要求，构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制访问控制规则实现对主体及其客体的访问控制。第三级系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。7.3 设计技术要求7.3.1 安全计算环境设计技术要求第三级安全计算环境从以下方面进行安全设计：a) 用户身份鉴别应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。b) 自主访问控制应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。c) 标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。d) 系统安全审计应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；能对特定安全事件进行报警；确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体调用的接口。e) 用户数据完整性保护应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。f) 用户数据保密性保护采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。g) 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。h) 程序可信执行保护可构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。7.3.2 安全区域边界设计技术要求第三级安全区域边界从以下方面进行安全设计：a) 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。b) 区域边界包过滤应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。c) 区域边界安全审计应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。d) 区域边界完整性保护应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。7.3.3 安全通信网络设计技术要求第三级安全通信网络从以下方面进行安全设计：a) 通信网络安全审计应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警。b) 通信网络数据传输完整性保护应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。c) 通信网络数据传输保密性保护采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。d) 通信网络可信接入保护可采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法接入。7.3.4 安全管理中心设计技术要求7.3.4.1 系统管理应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和（或）异地灾难备份与恢复等。 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。7.3.4.2 安全管理应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略。 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。7.3.4.3 审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行处理。应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操。8 第四级系统安全保护环境设计8.1 设计目标第四级系统安全保护环境的设计目标是：按照GB 17859-1999对第四级系统的安全保护要求，建立一个明确定义的形式化安全策略模型，将自主和强制访问控制扩展到所有主体与客体，相应增强其他安全功能强度；将系统安全保护环境结构化为关键保护元素和非关键保护元素，以使系统具有抗渗透的能力。8.2 设计策略第四级系统安全保护环境的设计策略是：在第三级系统安全保护环境设计的基础上，遵循GB 17859-1999的4.4中相关要求，通过安全管理中心明确定义和维护形式化的安全策略模型。依据该模型，采用对系统内的所有主、客体进行标记的手段，实现所有主体与客体的强制访问控制。同时，相应增强身份鉴别、审计、安全管理等功能，定义安全部件之间接口的途径，实现系统安全保护环境关键保护部件和非关键保护部件的区分，并进行测试和审核，保障安全功能的有效性。 第四级系统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。8.3 设计技术要求8.3.1 安全计算环境设计技术要求第四级安全计算环境从以下方面进行安全设计：a) 用户身份鉴别 应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录和重新连接系统时，采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，且其中一种鉴别技术产生的鉴别数据是不可替代的，并对鉴别数据进行保密性和完整性保护。b) 自主访问控制应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。c) 标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记，将强制访问控制扩展到所有主体与客体；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。d) 系统安全审计应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；能对特定安全事件进行报警，终止违例进程等；确保审计记录不被破坏或非授权访问以及防止审计记录丢失等。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体调用的接口。e) 用户数据完整性保护应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。f) 用户数据保密性保护采用密码等技术支持的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。g) 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。 h) 程序可信执行保护 应构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。8.3.2 安全区域边界设计技术要求第四级安全区域边界从以下方面进行安全设计：a) 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。b) 区域边界包过滤应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界。c) 区域边界安全审计应在安全区域边界设置审计机制，通过安全管理中心集中管理，对确认的违规行为及时报警并做出相应处置。d) 区域边界完整性保护应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。8.3.3 安全通信网络设计技术要求第四级安全通信网络从以下方面进行安全设计：a) 通信网络安全审计应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警，且做出相应处置。b) 通信网络数据传输完整性保护应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。c) 通信网络数据传输保密性保护采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。d) 通信网络可信接入保护应采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法接入。8.3.4 安全管理中心设计技术要求8.3.4.1 系统管理应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等。 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。8.3.4.2 安全管理应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，并确保标记、授权和安全策略的数据完整性。 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。8.3.4.3 审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行及时处理。 应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。8.3.5 系统安全保护环境结构化设计技术要求8.3.5.1 安全保护部件结构化设计技术要求第四级系统安全保护环境各安全保护部件的设计应基于形式化的安全策略模型。安全保护部件应划分为关键安全保护部件和非关键安全保护部件，防止违背安全策略致使敏感信息从关键安全保护部件流向非关键安全保护部件。关键安全保护部件应划分功能层次，明确定义功能层次间的调用接口，确保接口之间的信息安全交换。8.3.5.2 安全保护部件互联结构化设计技术要求第四级系统各安全保护部件之间互联的接口功能及其调用关系应明确定义；各安全保护部件之间互联时，需要通过可信验证机制相互验证对方的可信性，确保安全保护部件间的可信连接。8.3.5.3 重要参数结构化设计技术要求应对第四级系统安全保护环境设计实现的与安全策略相关的重要参数的数据结构给出明确定义，包括参数的类型、使用描述以及功能说明等，并用可信验证机制确保数据不被篡改。9 第五级系统安全保护环境设计9.1 设计目标第五级系统安全保护环境的设计目标是：按照GB 17859-1999对第五级系统的安全保护要求，在第四级系统安全保护环境的基础上，实现访问监控器，仲裁主体对客体的访问，并支持安全管理职能。审计机制可根据审计记录及时分析发现安全事件并进行报警，提供系统恢复机制，以使系统具有更强的抗渗透能力。9.2 设计策略第五级系统安全保护环境的设计策略是：遵循GB 17859-1999的4.5中“访问监控器本身是抗篡改的；必须足够小，能够分析和测试”。在设计和实现访问监控器时，应尽力降低其复杂性；提供系统恢复机制；使系统具有更强的抗渗透能力；所设计的访问监控器能进行必要的分析与测试，具有抗篡改能力。 第五级系统安全保护环境的设计通过第五级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。9.3 设计技术要求第五级系统安全保护环境设计技术要求另行制定。10 定级系统互联设计10.1 设计目标定级系统互联的设计目标是：对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护，确保用户身份的真实性、操作的安全性以及抗抵赖性，并按安全策略对信息流向进行严格控制，确保进出安全计算环境、安全区域边界以及安全通信网络的数据安全。10.2 设计策略定级系统互联的设计策略是：遵循GB 17859-1999对各级系统的安全保护要求，在各定级系统的计算环境安全、区域边界安全和通信网络安全的基础上，通过安全管理中心增加相应的安全互联策略，保持用户身份、主/客体标记、访问控制策略等安全要素的一致性，对互联系统之间的互操作和数据交换进行安全保护。10.3 设计技术要求10.3.1 安全互联部件设计技术要求应通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接，并按互联互通的安全策略进行信息交换，实现安全互联部件。安全策略由跨定级系统安全管理中心实施。10.3.2 跨定级系统安全管理中心设计技术要求应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连，主要实施跨定级系统的系统管理、安全管理和审计管理。10.3.2.1系统管理应通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资源和运行进行配置和管理，包括用户身份管理、安全互联部件资源配置和管理等。10.3.2.2安全管理应通过安全管理员对相同和不同等级的定级系统中与安全互联相关的主/客体进行标记管理，使其标记能准确反映主/客体在定级系统中的安全属性；对主体进行授权，配置统一的安全策略，并确保授权在相同和不同等级的定级系统中的合理性。10.3.2.3审计管理应通过安全审计员对安全互联部件的安全审计机制、各定级系统的安全审计机制以及与跨定级系统互联有关的安全审计机制进行集中管理。包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行分析，并根据分析结果进行及时处理。附录A（资料性附录）访问控制机制设计 A.1 自主访问控制机制设计系统在初始配置过程中，安全管理中心首先需要对系统中的主体及客体进行登记命名，然后根据自主访问控制安全策略，按照主体对其创建客体的授权命令，为相关主体授权，规定主体允许访问的客体和操作，并形成访问控制列表。自主访问控制机制结构如图A.1所示。 用户登录系统时，首先进行身份鉴别，经确认为合法的注册用户可登录系统，并执行相应的程序。当执行程序主体发出访问系统中客体资源的请求后，自主访问控制安全机制将截获该请求，然后查询对应访问控制列表。如果该请求符合自主访问控制列表规定的权限，则允许其执行；否则将拒绝执行，并将此行为记录在审计记录中。 A.2 强制访问控制机制设计系统在初始配置过程中，安全管理中心需要对系统中的确定主体及其所控制的客体实施身份管理、标记管理、授权管理和策略管理。身份管理确定系统中所有合法用户的身份、工作密钥、证书等与安全相关的内容。标记管理根据业务系统的需要，结合客体资源的重要程度，确定系统中所有客体资源的安全级别及范畴，生成全局客体安全标记列表；同时根据用户在业务系统中的权限和角色确定主体的安全级别及范畴，生成全局主体安全标记列表。授权管理根据业务系统需求和安全状况，授予用户访问客体资源的权限，生成强制访问控制策略和级别调整策略列表。策略管理则根据业务系统的需求，生成与执行主体相关的策略，包括强制访问控制策略和级别调整策略。除此之外，安全审计员需要通过安全管理中心制定系统审计策略，实施系统的审计管理。强制访问控制机制结构如图A.2所示。系统在初始执行时，首先要求用户标识自己的身份，经过系统身份认证确认为授权主体后，系统将下载全局主/客体安全标记列表及与该主体对应的访问控制列表，并对其进行初始化。当执行程序主体发出访问系统中客体资源的请求后，系统安全机制将截获该请求，并从中取出访问控制相关的主体、客体、操作三要素信息，然后查询全局主/客体安全标记列表，得到主/客体的安全标记信息，并依据强制访问控制策略对该请求实施策略符合性检查。如果该请求符合系统强制访问控制策略，则系统将允许该主体执行资源访问。否则，系统将进行级别调整审核，即依据级别调整策略，判断发出该请求的主体是否有权访问该客体。如果上述检查通过，系统同样允许该主体执行资源访问，否则，该请求将被系统拒绝执行。 系统强制访问控制机制在执行安全策略过程中，需要根据安全审计员制定的审计策略，对用户的请求及安全决策结果进行审计，并且将生成的审计记录发送到审计服务器存储，供安全审计员管理。 附录B（资料性附录）第三级系统安全保护环境设计示例B.1 功能与流程根据“一个中心”管理下的“三重保护”体系框架，构建安全机制和策略，形成定级系统的安全保护环境。该环境分为如下四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。每个部分由1个或若干个子系统（安全保护部件）组成，子系统具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征。安全计算环境可细分为节点子系统和典型应用支撑子系统；安全管理中心可细分为系统管理子系统、安全管理子系统和审计子系统。以上各子系统之间的逻辑关系如图B.1所示。 B.1.1 各子系统主要功能第三级系统安全保护环境各子系统的主要功能如下：a) 节点子系统 节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制，形成防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性，为典型应用支撑子系统的正常运行和免遭恶意破坏提供支撑和保障。b) 典型应用支撑子系统 典型应用支撑子系统是系统安全保护环境中为应用系统提供安全支撑服务的接口。通过接口平台使应用系统的主客体与保护环境的主客体相对应，达到访问控制策略实现的一致性。c) 区域边界子系统 区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查，确保不会有违反系统安全策略的信息流经过边界。d) 通信网络子系统 通信网络子系统通过对通信数据包的保密性和完整性的保护，确保其在传输过程中不会被非授权窃听和篡改，以保障数据在传输过程中的安全。e) 系统管理子系统 系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护，包括用户身份管理、资源管理、异常情况处理等。f) 安全管理子系统 安全管理子系统是系统的安全控制中枢，主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略，并要求节点子系统、区域边界子系统和通信网络子系统强制执行，从而实现对整个信息系统的集中管理。g) 审计子系统 审计子系统是系统的监督中枢。安全审计员通过制定审计策略，并要求节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统强制执行，实现对整个信息系统的行为审计，确保用户无法抵赖违反系统安全策略的行为，同时为应急处理提供依据。B.1.2 各子系统主要流程 第三级系统安全保护环境的结构与流程可以分为安全管理流程与访问控制流程。安全管理流程主要由安全管理员、系统管理员和安全审计员通过安全管理中心执行，分别实施系统维护、安全策略制定和部署、审计记录分析和结果响应等。访问控制流程则在系统运行时执行，实施自主访问控制、强制访问控制等。a) 策略初始化流程 节点子系统在运行之前，首先由安全管理员、系统管理员和安全审计员通过安全管理中心为其部署相应的安全策略。其中，系统管理员首先需要为定级系统中的所有用户实施身份管理，即确定所有用户的身份、工作密钥、证书等。同时需要为定级系统实施资源管理，以确