信息安全技術-網絡基礎安全技術要求GB/T20270-2006信息安全技術網絡基礎安全技術要求

Informationsecuritytechnology—Basissecuritytechniquesrequirementsfornetwork自

2006-12-1

起執行信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第1頁。目次

前言

引言

1范圍

2規范性引用文件

3術語、定義和縮略語

3.1術語和定義

3.2縮略語

4網絡安全組成與相互關系

5網絡安全功能基本要求

5.1身份鑒別

5.1.1用戶標識

5.1.2用戶鑒別

5.1.3用戶—主體綁定

5.1.4鑒別失敗處理

5.2自主訪問控制

5.2.1訪問控制策略

5.2.2訪問控制功能

5.2.3訪問控制范圍

5.2.4訪問控制粒度

5.3標記

5.3.1主體標記

5.3.2客體標記

5.3.3標記完整性

5.3.4有標記信息的輸出

5.4強制訪問控制

5.4.1訪問控制策略

5.4.2訪問控制功能

5.4.3訪問控制范圍

5.4.4訪問控制粒度

5.4.5訪問控制環境

5.5數據流控制

5.6安全審計

5.6.1安全審計的響應

5.6.2安全審計數據產生

5.6.3安全審計分析

5.6.4安全審計查閱

5.6.5安全審計事件選擇

5.6.6安全審計事件存儲

5.7用戶數據完整性

5.7.1存儲數據的完整性

5.7.2傳輸數據的完整性

5.7.3處理數據的完整性

5.8用戶數據保密性

5.8.1存儲數據的保密性

5.8.2傳輸數據的保密性

5.8.3客體安全重用

5.9可信路徑

5.10抗抵賴

5.10.1抗原發抵賴

5.10.2抗接收抵賴

5.11網絡安全監控

6網絡安全功能分層分級要求

6.1身份鑒別功能

6.2自主訪問控制功能

6.3標記功能

6.4強制訪問控制功能

6.5數據流控制功能

6.6安全審計功能

6.7用戶數據完整性保護功能

6.8用戶數據保密性保護功能

6.9可信路徑功能

6.10抗抵賴功能

6.11網絡安全監控功能

7網絡安全技術分級要求

7.1第一級：用戶自主保護級

7.1.1第一級安全功能要求

7.1.2第一級安全保證要求

7.2第二級：系統審計保護級

7.2.1第二級安全功能要求

7.2.2第二級安全保證要求

7.3第三級：安全標記保護級

7.3.1第三級安全功能要求

7.3.2第三級安全保證要求

7.4第四級：結構化保護級

7.4.1第四級安全功能要求

7.4.2第四級安全保證要求

7.5第五級：訪問驗證保護級

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第2頁。7.5.1第五級安全功能要求

7.5.2第五級安全保證要求

附錄A(資料性附錄)標準概念說明

A.1組成與相互關系

A.2關于網絡各層協議主要功能的說明

A.3關于安全保護等級劃分

A.4關于主體和客體

A.5關于SSON、SSF、SSP、SFP及其相互關系

A.6關于數據流控制

A.7關于密碼技術

A.8關于安全網絡的建議

參考文獻

前言

本標準的附錄A是資料性附錄.

本標準由全國信息安全標準化技術委員會提出并歸口。

本標準起草單位：北京思源新創信息安全資訊有限公司，江南計算技術研究所技術服務中心。

本標準主要起草人：吉增瑞、劉廣明、王志強、陳冠直、景乾元、宋健平。

引言

本標準用以指導設計者如何設計和實現具有所需要的安全保護等級的網絡系統，主要說明為實現GB17859—1999中每一個安全保護等級的安全要求，網絡系統應采取的安全技術措施，以及各安全技術要求在不同安全保護等級中的具體差異。

網絡是一個具有復雜結構、由許多網絡設備組成的系統，不同的網絡環境又會有不同的系統結構。然而，從網絡系統所實現的功能來看，可以概括為“實現網上信息交換”。網上信息交換具體可以分解為信息的發送、信息的傳輸和信息的接收。從信息安全的角度，網絡信息安全可以概括為“保障網上信息交換的安全”，具體表現為信息發送的安全、信息傳輸的安全和信息接收的安全，以及網上信息交換的抗抵賴等。網上信息交換是通過確定的網絡協議實現的，不同的網絡會有不同的協議。任何網絡設備都是為實現確定的網絡協議而設置的。典型的、具有代表性的網絡協議是國際標準化組織的開放系統互連協議(ISO/OSI)，也稱七層協議。雖然很少有完全按照七層協議構建的網絡系統，但是七層協議的理論價值和指導作用是任何網絡協議所不可替代的。網絡安全需要通過協議安全來實現。通過對七層協議每一層安全的描述，可以實現對網絡安全的完整描述。網絡協議的安全需要由組成網絡系統的設備來保障。因此，對七層協議的安全要求自然包括對網絡設備的安全要求。

信息安全是與信息系統所實現的功能密切相關的，網絡安全也不例外。網絡各層協議的安全與其在每一層所實現的功能密切相關。附錄A中A.2關于網絡各層協議主要功能的說明，對物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層等各層的功能進行了簡要描述，是確定網絡各層安全功能要求的主要依據。

本標準以GB/T20271-2006關于信息系統安全等級保護的通用技術要求為基礎，圍繞以訪問控制為核心的思想進行編寫，在對網絡安全的組成與相互關系進行簡要說明的基礎上，第5章對網絡安全功能基本技術分別進行了說明，第6章是對第5章網絡安全功能的分級分層情況的描述。在此基礎上，本標準的第7章對網絡安全技術的分等級要求分別從安全功能技術要求和安全保證技術要求兩方面進行了詳細說明。在第7章的描述中除了引用以前各章信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第3頁。的內容外，還引用了GB/T20271-2006中關于安全保證技術要求的內容。由于GB/T20271-2006的安全保證技術要求，對網絡而言沒有需要特別說明的內容，所以在網絡基本技術及其分級分層的描述中沒有涉及這方面的內容。

信息安全技術

網絡基礎安全技術要求

1范圍

本標準依據GB17859-1999的五個安全保護等級的劃分，根據網絡系統在信息系統中的作用，規定了各個安全等級的網絡系統所需要的基礎安全技術的要求。

本標準適用于按等級化的要求進行的網絡系統的設計和實現，對按等級化要求進行的網絡系統安全的測試和管理可參照使用。

2規范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件，其隨后的所有修改單(不包括勘誤的內容)或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

GB17859-1999計算機信息系統安全保護等級劃分準則

GB/T20271-2006信息安全技術信息系統通用安全技術要求

3術語、定義和縮略語

3.1術語和定義

GB17859-1999確立的以及下列術語和定義適用于本標準。

3.1.1

網絡安全networksecurity

網絡環境下存儲、傳輸和處理的信息的保密性、完整性和可用性的表征。

3.1.2

網絡安全基礎技術basistechnologyofnetworksecurity

實現各種類型的網絡系統安全需要的所有基礎性安全技術。

3.1.3

網絡安全子系統securitysubsystemofnetwork

網絡中安全保護裝置的總稱，包括硬件、固件、軟件和負責執行安全策略的組合體。它建立了一個基本的網絡安全保護環境，并提供安全網絡所要求的附加用戶服務。

注：按照GB17859-1999對TCB(可信計算基)的定義，SSON(網絡安全子系統)就是網絡的TCB。

3.1.4

SSON安全策略SSONsecuritypolicy

對SSON中的資源進行管理、保護和分配的一組規則。一個SSON中可以有一個或多個安全策略。

3.1.5

安全功能策略securityfunctionpolicy

為實現SSON安全要素要求的功能所采用的安全策略。

3.1.6

安全要素securityelement

本標準中各安全保護等級的安全技術要求所包含的安全內容的組成成份。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第4頁。3.1.7

SSON安全功能SSONsecurityfunction

正確實施SSON安全策略的全部硬件、固件、軟件所提供的功能。每一個安全策略的實現，組成一個SSON安全功能模塊。一個SSON的所有安全功能模塊共同組成該SSON的安全功能。

3.1.8

SSF控制范圍SSFscopeofcontrol

SSON的操作所涉及的主體和客體的范圍。

3.2縮略語

下列縮略語適用于本標準：

SFP安全功能策略Securityfunctionpolicy

SSCSSF控制范圍SSFscopeofcontrol

SSFSSON安全功能SSONsecurityfunction

SSPSSON安全策略SSONsecuritypolicy

SSON網絡安全子系統securitysubsystemofnetwork

4網絡安全組成與相互關系

根據OSI參考模型和GB17859—1999所規定的安全保護等級和安全要素，網絡安全的組成與相互關系如表信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第1頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第2頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第3頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第4頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第5頁。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第5頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第6頁。

對于網絡系統的物理層、鏈路層、網絡層、傳輸層、會話層、表示層和應用層，可分別按GB17859—1999的各個安全等級的要求進行設計。

在各協議層中，安全要素的實現方法可有所不同。本標準基于各項安全要素對各協議層在各個安全保護等級中應采用的安全技術和機制提出要求。

5網絡安全功能基本要求

5.1身份鑒別

5.1.1用戶標識

a)基本標識：應在SSF實施所要求的動作之前，先對提出該動作要求的用戶進行標識。

b)唯一性標識：應確保所標識用戶在信息系統生存周期內的唯一性，并將用戶標識與安全審計相關聯。

c)標識信息管理：應對用戶標識信息進行管理、維護，確保其不被非授權地訪問、修改或刪除。

5.1.2用戶鑒別

a)基本鑒別：應在SSF實施所要求的動作之前，先對提出該動作要求的用戶成功地進行鑒別。

b)不可偽造鑒別：應檢測并防止使用偽造或復制的鑒別數據。一方面，要求SSF應檢測或防止由任何別的用戶偽造的鑒別數據，另一方面，要求SSF應檢測或防止當前用戶從任何其他用戶處復制的鑒別數據的使用。

c)一次性使用鑒別：應能提供一次性使用鑒別數據操作的鑒別機制，即SSF應防止與已標識過的鑒別機制有關的鑒別數據的重用。

d)多機制鑒別：應能提供不同的鑒別機制，用于鑒別特定事件的用戶身份，并且SSF應根據所描述的多種鑒別機制如何提供鑒別的規則，來鑒別任何用戶所聲稱的身份。

e)重新鑒別：應有能力規定需要重新鑒別用戶的事件，即SSF應在需要重鑒別的條件表所指示的條件下，重新鑒別用戶。例如，用戶終端操作超時被斷開后，重新連接時需要進行重鑒別。

5.1.3用戶—主體綁定

在SSON安全功能控制范圍之內，對一個已標識和鑒別的用戶，為了要求SSF完成某個任務，需要激活另一個主體(如進程)，這時，要求通過用戶—主體綁定將該用戶與該主體相關聯，從而將用戶的身份與該用戶的所有可審計行為相關聯。

5.1.4鑒別失敗處理

要求SSF為不成功的鑒別嘗試次數(包括嘗試數目和時間的閾值)定義一個值，以及明確規定達到該值時所應采取的動作。鑒別失敗的處理應包括檢測出現相關的不成功鑒別嘗試的次數與所規定的數目相同的情況，并進行預先定義的處理。

5.2自主訪問控制

5.2.1訪問控制策略

SSF應按確定的自主訪問控制安全策略進行設計，實現對策略控制下的主體與客體間操作的控制?？梢杂卸鄠€自主訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。常用的自主訪問控制策略包括：訪問控制表訪問控制、目錄表訪問控制、權能表訪問控制等。

5.2.2訪問控制功能

SSF應明確指出采用一條命名的訪問控制策略所實現的特定功能，說明策略的使用和特征，以及該策略的控制范圍。

無論采用何種自主訪問控制策略，SSF應有能力提供：

——在安全屬性或命名的安全屬性組的客體上，執行訪問控制SFP；

——在基于安全屬性的允許主體對客體訪問的規則的基礎上，允許主體對客體的訪問；

——在基于安全屬性的拒絕主體對客體訪問的規則的基礎上，拒絕主體對客體的訪問。

5.2.3訪問控制范圍

網絡系統中自主訪問控制的覆蓋范圍分為：

a)子集訪問控制：要求每個確定的自主訪問控制，SSF應覆蓋網絡系統中所定義的主體、客體及其之間的操作；

b)完全訪問控制：要求每個確定的自主訪問控制，SSF應覆蓋網絡系統中所有的主體、客體及其之間的操作，即要求SSF應確保SSC內的任意一個主體和任意一個客體之間的所有操作將至少被一個確定的訪問控制SFP覆蓋。

5.2.4訪問控制粒度

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第7頁。網絡系統中自主訪問控制的粒度分為：

a)粗粒度：主體為用戶組/用戶級，客體為文件、數據庫表級；

b)中粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級；

c)細粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級或元素級。

5.3標記

5.3.1主體標記

應為實施強制訪問控制的主體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。如：等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。

5.3.2客體標記

應為實施強制訪問控制的客體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。如：等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。

5.3.3標記完整性

敏感標記應能準確地表示特定主體或客體的訪問控制屬性，主體和客體應以此發生關聯。當數據從SSON輸出時，根據需要，敏感標記應能準確地和明確地表示輸出數據的內部標記，并與輸出的數據相關聯。

5.3.4有標記信息的輸出

SSON應對每個通信信道和I/O設備標明單級或多級。這個標志的任何變化都應由授權用戶實現，并可由SSON審計。SSON應維持并且能夠對安全保護等級的任何變化進行審定，或對與通信信道或I/O設備有關的安全保護等級進行安全審計。

a)向多級安全設備的輸出：當SSON將一客體信息輸出到一個具有多級安全的I／O設備時，與該客體有關的敏感標記也應輸出，并以與輸出信息相同的形式(如機器可讀或人可讀形式)駐留在同一物理媒體上。當SSON在多級通信信道上輸出或輸入一客體信息時，該信道使用的協議應在敏感標記和被發送或被接收的有關信息之間提供明確的配對關系。

b)向單級安全設備的輸出：單級I/O設備和單級通信信道不需要維持其處理信息的敏感標記，但SSON應包含一種機制，使SSON與一個授權用戶能可靠地實現指定的安全級的信息通信。這種信息經由單級通信信道或I/O設備輸入/輸出。

c)人可讀標記的輸出：SSON應標記所有人可讀的、編頁的、具有人可讀的敏感標記的硬拷貝輸出(如行打印機輸出)的開始和結束，以適當地表示輸出敏感性。SSON應按默認值標記人可讀的、編頁的、具有人可讀的敏感標記的硬拷貝輸出(如行打印機輸出)每頁的頂部和底部，以適當地表示該輸出總的敏感性，或表示該頁信息的敏感性。SSON應該按默認值，并以一種適當方法標記具有人可讀的敏感標記的其他形式的人可讀的輸出(如圖形)，以適當地表示該輸出的敏感性。這些標記默認值的任何濫用都應由SSON審計。

5.4強制訪問控制

5.4.1訪問控制策略

網絡強制訪問控制策略應包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。當前常見的強制訪問控制策略有：

a)多級安全模型：基本思想是，在對主、客體進行標記的基礎上，SSOIS控制范圍內的所有主體對客體的直接或間接的訪問應滿足：

——向下讀原則：僅當主體標記中的等級分類高于或等于客體標記中的等級分類，且主體標記中的非等級類別包含了客體標記中的全部非等級類別，主體才能讀該客體；

——向上寫原則：僅當主體標記中的等級分類低于或等于客體標記中的等級分類，且主信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第8頁。體標記中的非等級類別包含于客體標記中的非等級類別，主體才能寫該客體。

b)基于角色的訪問控制(BRAC)：基本思想是，按角色進行權限的分配和管理；通過對主體進行角色授予，使主體獲得相應角色的權限；通過撤消主體的角色授予，取消主體所獲得的相應角色權限。在基于角色的訪問控制中，標記信息是對主體的授權信息。

c)特權用戶管理：基本思想是，針對特權用戶權限過于集中所帶來的安全隱患，對特權用戶按最小授權原則進行管理。實現特權用戶的權限分離；僅授予特權用戶為完成自身任務所需要的最小權限。

5.4.2訪問控制功能

SSF應明確指出采用一條命名的強制訪問控制策略所實現的特定功能。SSF應有能力提供：

——在標記或命名的標記組的客體上，執行訪問控制SFP；

——按受控主體和受控客體之間的允許訪問規則，決定允許受控主體對受控客體執行受控操作；

——按受控主體和受控客體之間的拒絕訪問規則，決定拒絕受控主體對受控客體執行受控操作。

5.4.3訪問控制范圍

網絡強制訪問控制的覆蓋范圍分為：

a)子集訪問控制：對每個確定的強制訪問控制，SSF應覆蓋信息系統中由安全功能所定義的主體、客體及其之間的操作；

b)完全訪問控制：對每個確定的強制訪問控制，SSF應覆蓋信息系統中所有的主體、客體及其之間的操作，即要求SSF應確保SSC內的任意一個主體和任意一個客體之間的操作將至少被一個確定的訪問控制SFP覆蓋。

5.4.4訪問控制粒度

網絡強制訪問控制的粒度分為：

a)中粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級；

b)細粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級和/或元素級。

5.4.5訪問控制環境

a)單一安全域環境：在單一安全域環境實施的強制訪問控制應在該環境中維持統一的標記信息和訪問規則。當被控客體輸出到安全域以外時，應將其標記信息同時輸出；

b)多安全域環境：在多安全域環境實施統一安全策略的強制訪問控制時，應在這些安全域中維持統一的標記信息和訪問規則。當被控制客體在這些安全域之間移動時，應將其標記信息一起移動。

5.5數據流控制

對網絡中以數據流方式實現數據流動的情況，應采用數據流控制機制實現對數據流動的控制，以防止具有高等級安全的數據信息向低等級的區域流動。

5.6安全審計

5.6.1安全審計的響應

安全審計SSF應按以下要求響應審計事件：

a)記審計日志：當檢測到可能有安全侵害事件時，將審計數據記人審計日志；

b)實時報警生成：當檢測到可能有安全侵害事件時，生成實時報警信息；

c)違例進程終止：當檢測到可能有安全侵害事件時，將違例進程終止；

d)服務取消：當檢測到可能有安全侵害事件時，取消當前的服務；

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第9頁。e)用戶賬號斷開與失效：當檢測到可能有安全侵害事件時，將當前的用戶賬號斷開，并使其失效。

5.6.2安全審計數據產生

SSF應按以下要求產生審計數據：

a)為下述可審計事件產生審計記錄：

——審計功能的啟動和關閉；

——使用身份鑒別機制；

——將客體引入用戶地址空間(例如：打開文件、程序初始化)；

——刪除客體；

——系統管理員、系統安全員、審計員和一般操作員所實施的操作；

——其他與系統安全有關的事件或專門定義的可審計事件。

b)對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息。

c)對于身份鑒別事件，審計記錄應包含請求的來源(例如：終端標識符)。

d)對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應包含客體名及客體的安全保護等級。

e)將每個可審計事件與引起該事件的用戶相關聯。

5.6.3安全審計分析

安全審計分析應包括：

a)潛在侵害分析：應能用一系列規則去監控審計事件，并根據這些規則指出SSP的潛在侵害。這些規則包括：

——由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合；

——任何其他的規則。

b)基于異常檢測的描述：應維護用戶所具有的質疑等級——歷史使用情況，以表明該用戶的現行活動與已建立的使用模式的一致性程度。當用戶的質疑等級超過門限條件時，SSF應能指出將要發生對安全性的威脅。

c)簡單攻擊探測：應能檢測到對SSF實施有重大威脅的簽名事件的出現。為此，SSF應維護指出對SSF侵害的簽名事件的內部表示，并將檢測到的系統行為記錄與簽名事件進行比較，當發現兩者匹配時，指出一個對SSF的攻擊即將到來。

d)復雜攻擊探測：在上述簡單攻擊探測的基礎上，要求SSF應能檢測到多步入侵情況，并能根據已知的事件序列模擬出完整的入侵情況，還應指出發現對，SSF的潛在侵害的簽名事件或事件序列的時間。

5.6.4安全審計查閱

安全審計查閱工具應具有：

a)審計查閱：提供從審計記錄中讀取信息的能力，即要求SSF為授權用戶提供獲得和解釋審計信息的能力。當用戶是人時，必須以人類可懂的方式表示信息；當用戶是外部IT實體時，必須以電子方式無歧義地表示審計信息。

b)有限審計查閱：在上述審計查閱的基礎上，審計查閱工具應禁止具有讀訪問權限以外的用戶讀取審計信息。

c)可選審計查閱：在上述有限審計查閱的基礎上，審計查閱工具應具有根據準則來選擇要查閱的審計數據的功能，并根據某種邏輯關系的標準提供對審計數據進行搜索、分類、排序的能力。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第10頁。5.6.5安全審計事件選擇

應根據以下屬性選擇可審計事件：

a)客體身份、用戶身份、主體身份、主機身份、事件類型；

b)作為審計選擇性依據的附加屬性。

5.6.6安全審計事件存儲

應具有以下創建并維護安全的審計蹤跡記錄的能力：

a)受保護的審計蹤跡存儲：要求審計蹤跡的存儲受到應有的保護，能檢測或防止對審計記錄的修改；

b)審計數據的可用性確保：要求在意外情況出現時，能檢測或防止對審計記錄的修改，以及在發生審計存儲已滿、存儲失敗或存儲受到攻擊時，確保審計記錄不被破壞；

c)審計數據可能丟失情況下的措施：要求當審計跟蹤超過預定的門限時，應采取相應的措施，進行審計數據可能丟失情況的處理；

d)防止審計數據丟失：要求在審計蹤跡存儲記滿時，應采取相應的防止審計數據丟失的措施，可選擇“忽略可審計事件”、“阻止除具有特殊權限外的其他用戶產生可審計事件”、“覆蓋已存儲的最老的審計記錄”和“一旦審計存儲失敗所采取的其他行動”等措施，防止審計數據丟失。

5.7用戶數據完整性

5.7.1存儲數據的完整性

應對存儲在SSC內的用戶數據進行完整性保護，包括：

a)完整性檢測：要求SSF應對基于用戶屬性的所有客體，對存儲在SSC內的用戶數據進行完整性檢測；

b)完整性檢測和恢復：要求SSF應對基于用戶屬性的所有客體，對存儲在SSC內的用戶數據進行完整性檢測，并且當檢測到完整性錯誤時，SSF應采取必要的SSF應采取必要的恢復、審計或報警措施。

5.7.2傳輸數據的完整性

當用戶數據在SSF和其他可信IT系統間傳輸時應提供完整性保護，包括：

a)完整性檢測：要求對被傳輸的用戶數據進行檢測，及時發現以某種方式傳送或接收的用戶數據被篡改、刪除、插入等情況發生；

b)數據交換恢復：由接收者SSON借助于源可信IT系統提供的信息，或由接收者SSON自己無須來自源可信IT系統的任何幫助，能恢復被破壞的數據為原始的用戶數據。若沒有可恢復條件，應向源可信IT系統提供反饋信息。

5.7.3處理數據的完整性

回退：對信息系統中處理中的數據，應通過“回退”進行完整性保護，即要求SSF應執行訪問控制SFP，以允許對所定義的操作序列進行回退。

5.8用戶數據保密性

5.8.1存儲數據的保密性

應對存儲在SSC內的用戶數據進行保密性保護。

5.8.2傳輸數據的保密性

應對在SSC內傳輸的用戶數據進行保密性保護。

5.8.3客體安全重用

在對資源進行動態管理的系統中，客體資源(寄存器、內存、磁盤等記錄介質)中的剩余信息不應引起信息的泄露?？腕w安全重用分為：

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第11頁。a)子集信息保護：要求對SSON安全控制范圍之內的某個子集的客體資源，在將其分配給某一用戶或代表該用戶運行的進程時，應不會泄露該客體中的原有信息；

b)完全信息保護：要求對SSON安全控制范圍之內的所有客體資源，在將其分配給某一用戶或代表該用戶運行的進程時，應不會泄露該客體中的原有信息；

c)特殊信息保護：對于某些需要特別保護的信息，應采用專門的方法對客體資源中的殘留信息做徹底清除，如對剩磁的清除等。

5.9可信路徑

用戶與SSF間的可信路徑應：

a)提供真實的端點標識，并保護通信數據免遭修改和泄露；

b)利用可信路徑的通信可以由SSF自身、本地用戶或遠程用戶發起；

c)對原發用戶的鑒別或需要可信路徑的其他服務均使用可信路徑。

5.10抗抵賴

5.10.1抗原發抵賴

應確保信息的發送者不能否認曾經發送過該信息。這就要求SSF提供一種方法，來確保接收信息的主體在數據交換期間能獲得證明信息原發的證據，而且該證據可由該主體或第三方主體驗證。

抗原發抵賴分為：

a)選擇性原發證明：要求SSF具有為主體提供請求原發證據信息的能力。即SSF在接到原發者或接收者的請求時，能就傳輸的信息產生原發證據，證明該信息的發送由該原發者所為。

b)強制性原發證明：要求SSF在任何時候都能對傳輸的信息產生原發證據。即SSF在任何時候都能就傳輸的信息強制產生原發證據，證明該信息的發送由該原發者所為。

5.10.2抗接收抵賴

應確保信息的接收者不能否認接受過該信息。這就要求SSF提供一種方法，來確保發送信息的主體在數據交換期間能獲得證明該信息被接收的證據，而且該證據可由該主體或第三方主體驗證。

抗接收抵賴分為：

a)選擇性接收證明：要求SSF具有為主體提供請求信息接收證據的能力。即SSF在接到原發者或接收者的請求時，能就接收到的信息產生接收證據，證明該信息的接收由該接收者所為。

b)強制性接收證明：要求SSF總是對收到的信息產生接收證據。即SSF能在任何時候對收到的信息強制產生接收證據，證明該信息的接收由該接收者所為。

5.1.1網絡安全監控

網絡安全監控應采用以下安全技術和機制：

a)網絡安全探測機制：在組成網絡系統的各個重要部位，設置探測器，實時監聽網絡數據流，監視和記錄內、外部用戶出入網絡的相關操作。在發現違規模式和未授權訪問時，報告網絡安全監控中心。

b)網絡安全監控中心：設置安全監控中心，對收到的來自探測器的信息，根據安全策略進行分析，并作審計、報告、事件記錄和報警等處理。網絡安全監控中心應具有必要的遠程管理功能，如對探測器實現遠程參數設置、遠程數據下載、遠程啟動等操作。網絡安全監控中心還應具有實時響應功能，包括攻擊分析和響應、誤操作分析和響應、漏洞分析和響應等。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第12頁。6網絡安全功能分層分級要求

6.1身份鑒別功能

應按照用戶標識和用戶鑒別的要求進行身份鑒別安全機制的設計。

一般以用戶名和用戶標識符來標識一個用戶，應確保在一個信息系統中用戶名和用戶標識符的唯一性，嚴格的唯一性應維持在網絡系統的整個生存周期都有效，即使一個用戶的賬戶已被刪除，他的用戶名和標識符也不能再使用，并由此確保用戶的唯一性和可區別性。

鑒別應確保用戶的真實性。可以用口令進行鑒別，更嚴格的身份鑒別可采用智能IC卡密碼技術，指紋、虹膜等特征信息進行身份鑒別，并在每次用戶登錄系統之前進行鑒別?？诹顟遣豢梢姷模⒃诖鎯蛡鬏敃r進行保護。智能IC卡身份鑒別應以密碼技術為基礎，并按用戶鑒別中不可偽造鑒別所描述的要求進行設計。對于鑒別失敗的情況，要求按鑒別失敗所描述的要求進行處理。

用戶在系統中的行為一般由進程代為執行，要求按用戶—主體綁定所描述的要求，將用戶與代表該用戶行為的進程相關聯。這種關聯應體現在SSON安全功能控制范圍之內各主、客體之間的相互關系上。比如，一個用戶通過鍵入一條命令要求訪問一個指定文件，信息系統運行某一進程實現這一功能。這時，該進程應與該用戶相關聯，于是該進程的行為即可看作該用戶的行為。

身份鑒別應區分實體鑒別和數據起源鑒別：當身份是由參與通信連接或會話的遠程實體提交時叫實體鑒別，它可以作為訪問控制服務的一種必要支持；當身份信息是由數據項發送者提交時叫數據起源鑒別，它是確保部分完整性目標的直接方法，確保知道某個數據項的真正起源。

表2給出了從用戶自主保護級到訪問驗證保護級對身份鑒別功能的分層分級要求。

表2身份鑒別功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第13頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第6頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第7頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第8頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第9頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第10頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第11頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第12頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第13頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第14頁。

6.2自主訪問控制功能

應按照對訪問控制策略的要求，選擇所需的訪問控制策略，并按照對訪問控制功能的要求，設計和實現所需要的自主訪問控制功能。

當使用文件、目錄和網絡設備時，網絡管理員應給文件、目錄等指定訪問屬性。訪問控制規則應將給定的屬性與網絡服務器的文件、目錄和網絡設備相聯系。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。自主訪問控制應能控制以下權限：

a)向某個文件寫數據、拷貝文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。

b)為每個命名客體指定用戶名和用戶組，以及規定他們對客體的訪問模式。

表3給出了從用戶自主保護級到訪問驗證保護級對自主訪問控制功能的分層分級要求。

表3自主訪問控制功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第14頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第15頁。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第15頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第16頁。

6.3標記功能

應按照主體標記和客體標記所描述的要求進行標記設計。

在網絡環境中，帶有特定標記的數據應能被安全策略禁止通過某些子網、鏈路或中繼。連接的發起者(或無連接數據單元的發送者)可以指定路由選擇說明，請求回避某些特定的子網、鏈路或中繼。

包含數據項的資源應具有與這些數據相關聯的敏感標記。敏感標記可能是與被傳送的數據相連的附加數據，也可能是隱含的信息，例如使用一個特定密鑰加密數據所隱含的信息或由該數據的上下文隱含的信息，可由數據源或路由來隱含。明顯的敏感標記必須是清晰可辨認的，以便對它們作適當的驗證。此外，它們還必須安全可靠地依附于與之關聯的數據。

對于在通信期間要移動的數據項，發起通信的進程與實體，響應通信的進程與實體，在通信時被用到的信道和其他資源等，都可以用各自的敏感信息來標記。安全策略應指明如何使用敏感信息以提供必要的安全性。當安全策略是基于用戶身份時，不論直接或通過進程訪問數據，敏感標記均應包含有關用戶身份的信息。用于特定標記的那些規則應該表示在安全管理信息庫中的一個安全策略中，如果需要，還應與端系統協商。標記可以附帶敏感信息，指明其敏感性，說明處理與分布上的隱蔽處，強制定時與定位，以及指明對該端系統特有的要求。

采用的安全策略決定了標記所攜帶的敏感信息及其含義，不同的網絡會有差異。

表4給出了從安全標記保護級到訪問驗證保護級對標記功能的分層分級要求。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第16頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第17頁。

6.4強制訪問控制功能

應按照強制訪問控制功能的要求，選擇所需的訪問控制策略，設計和實現所需要的強制訪問控制功能。

強制訪問控制應由專門設置的系統安全員統一管理系統中與該訪問控制有關的事件和信息。為了防止由于系統管理人員或特權用戶的權限過于集中所帶來的安全隱患，應將系統的常規管理、與安全有關的管理以及審計管理，由系統管理員、系統安全員和系統審記員分別承擔，并在三者之間形成相互制約的關系。

采用多級安全模型的強制訪問控制應將SSON安全控制范圍內的所有主、客體成分通過標記方式設置敏感標記，這些敏感標記與訪問規則一起確定每一次主體對客體的訪問是否被允許。

這里所要求的對客體的控制范圍除涉及系統內部的存儲、處理和傳輸過程外，還應包括將信息進行輸入、輸出操作的過程，即無論信息以何種形式存在，都應有一定的安全屬性與其相關聯，并按強制訪問控制規則對其進行控制。

第三級的強制訪問控制應對SSON所定義的主體與客體實施控制。第四級以上的經制訪問控制應擴展到信息系統中的所有主體與客體。表5給出了從安全標記保護級到訪問驗證保護級強制訪問控制功能的分層分級要求。

表5強制訪問控制功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第18頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第17頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第18頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第19頁。

6.5數據流控制功能

對在網絡中以數據流方式進行的數據交換，應按照數據流控制的要求進行用戶數據保密性保護設計。表6給出了從安全標記保護級到訪問驗證保護級對數據流控制功能的分層分級要求。

表6數據流控制功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第19頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第20頁。

6.6安全審計功能

應按照對安全審計的要求進行設計。按安全審計數據產生的描述產生審計數據；按安全審計查閱的描述提供審計查閱、有限審計查閱和可選審計查閱；按安全審計事件選擇的描述提供對審事件的選擇；按安全審計事件存儲中受保護的審計蹤跡存儲、審計數據的可用性確保、審計數據可能丟失行動和防止審計事件丟失的要求來保存審計事件；按安全審計分析中的潛在侵害分析、基于異常檢測的描述以及簡單攻擊探測和復雜攻擊探測的要求進行審計分析設計；按安全審計的自動響應的要求設計相應的功能。

網絡安全審計涉及與安全有關的事件，包括事件的探測、收集、控制，進行事件責任的追查。審計中必須包含的信息的典型類型包括：標定哪些網段需要有限授權訪問或數據加密，哪些設備、文件和目錄需要加鎖或口令保護，哪些文件應該進行存檔備份，執行備份程序的頻率，以及網絡所使用的病毒防護措施的類型等。安全審計通過對網絡上發生的各種訪問情況記錄日志，并對日志進行統計分析，從而對資源使用情況進行事后分析。審計也是發現和追蹤安全事件的常用措施，能夠自動記錄攻擊發起人的IP地址及企圖攻擊的時間，以及攻擊包數據，給系統安全管理及追查網絡犯罪提供可靠的線索。安全審計應該提供有關網絡所使用的緊急事件和災難處理程序，提供準確的網絡安全審計和趨向分析報告，支持安全程序的計劃和評估。對于較高安全等級的安全審計數據，可通過數字簽名技術進行保護，限定審計數據可由審計員處理，但不可修改。

表7給出了從系統審計保護級到訪問驗證保護級對安全審計功能的分層分級要求。

表7安全審計功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第20頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第21頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第21頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第22頁。

6.7用戶數據完整性保護功能

應對系統中存儲、傳輸和處理的用戶數據有效措施，防止其遭受非授權用戶的修改、破壞或刪除。

對存儲在系統中的用戶數據的完整性保護，較低安全要求應按照存儲數據的完整性保護中完整性監視的要求，設計相應的SSON安全功能模塊，對SSON安全控制范圍內的用戶數據進行完整性保護；羅高安全要求應通過密碼支持系統所提供的功能，對加密存儲的數據進行存儲數據的完整性檢驗或采用其他相應的安全機制，在檢測到完整性錯誤時采取必要的恢復措施。

對經過網絡傳輸的用戶數據完整性保護，應按照SSON間通信保護中用戶用戶數據保密性和完整性檢測、以及源恢復和目的恢復的要求設計相應的SSON安全功能模塊。

對系統中進行處理的數據完善性保護，應按照回退的要求設計相應的SSON安全功能模塊，進行異常情況的操作序列回退，以確保數據的完整性。表8給出了從用戶自主保護級別到訪問驗證保護級用戶數據完整性只護功能的分層分級要求。

表8用戶數據完整性保護功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第22頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第23頁。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第23頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第24頁。

6.8用戶數據保密性保護功能

應對系統中存儲、傳輸和處理的信息采取有效的保護措施，防止其遭受非授權的泄露。

對存儲在系統中的數據的完整性保護，較低安全要求應按照存儲數據的保密性保護的一般方法，設計相應的SSON安全功能模塊，對SSON安全控制范圍內的用戶數據進行完整性保護；較高安全要求應通過密碼支持系統所提供的功能或相應安全性的安全機制所提供的安全功能，對存儲的數據進行保密性保護。

對在系統中傳輸的數據，較低級別應按照存儲數據的保密性保護的要求，設計相應的SSON安全功能模塊，對SSON安全控制范圍內的用戶數據進行保密性保護；較高安全要求的系統應通過密碼支持系統所提供的功能或其他相應的安全機制所提供的安全功能，進行嚴格的保密性保護。

對系統運行中動態管理和分配的資源，應采用有效措施，防止其剩余信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第24頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第25頁。

6.9可信路徑功能

應提供用戶與SSON之間安全地進行數據傳輸的保證，要求按用戶與SSF間可信路徑所描述的要求進行設計。表10給出結構化保護級和訪問驗證保護級可信路徑功能的分層分級要求。

表10可信路徑功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第25頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第26頁。

6.10抗低賴功能

應提供通信雙方身份的真實性和雙方對信交換行為的不可抵賴性。對信息的發送方，SSON應按抗原發抵賴中選擇性原發證明/強制性原發證明的要求進行設計；對信息的接收方，SSON應按抗接收抵賴中選擇性接收證明/強制性接受證明的要求進行設計。

表11給出了從安全標記保護級到訪問驗證保護級抗低賴功能的分層分級要求。

表11抗抵賴功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第26頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第27頁。

6.11網絡安全監控功能

應提供對網絡系統運行進行安全監控的功能。網絡安全監控機制通過在網絡環境的各個關鍵部位設置分布式探測器收集與安全相關的信息，并由網絡安全監控中心匯集和分極，及時發現各種違規行為。表12給出了從安全標記保護級到訪問驗證保護網絡安全監控功能的分層分級要求。

表12網絡安全監控功能分層分級要求

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第27頁。信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第28頁。

7網絡安全技術分級要求

7.1第一級：用戶自主保護級

7.1.1第一級安全功能要求

7.1.1.1物理層

根據需要，可采用密碼技術確保所傳送的數據受到應有的完整性保護，防止其遭受非授權的泄露。本安全保護等級該層所涉及的用戶數據完整性保護應滿足6.7和GB/T20271-2006中6.1.3.3的要求。

7.1.1.2鏈路層

a)身份鑒別：可根據6.1的描述，按GB/T20271-2006中6.1.3.1的要求，設計和實現鏈路層用戶自主保護級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即鏈路級實體鑒別；

b)自主訪問控制：可根據6.2的描述，按GB/T20271-2006中6.1.3.2的要求，設計和實現鏈路層用戶自主保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：可根據6.7的描述，按GB/T20271-2006中6.1.3.3的要求，設計和實現鏈路層用戶自主保護級的用戶數據完整性保護功能，保護傳輸數據的完整性。

7.1.1.3網絡層

a)身份鑒別：可根據6.1的描述，按GB/T20271-2006中6.1.3.1的要求，設計和實現網絡層用戶自主保護級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即網絡級實體鑒別；

b)自主訪問控制：可根據6.2的描述，按GB/T20271-2006中6.1.3.2的要求，設計和實現網絡層用戶自主保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：可根據6.7的描述，按GB／T20271--2006中6.1.3.3要求，設計和實現網絡層用戶自主保護級的用戶數據完整性保護功能，保護傳輸數據的完整性。

7.1.1.4傳輸層

a)身份鑒別：可根據6.1的描述，按GB/T20271-2006中6.1.3.1的要求，設計和實現傳輸層用戶自主保護級的身份鑒別功能，在首次建立TCP連接時，進行(相互)身份鑒別；

b)自主訪問控制：可根據6.2的描述，按GB/T20271-2006中6.1.3.2的要求，設計和實現傳輸層用戶自主保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：可根據6.7的描述，按GB/T20271-2006中6.1.3.3要求，設計和實現傳輸層用戶自主保護級的用戶數據完整性保護功能，保護傳輸數據的完整性。

7.1.1.5會話層

a)身份鑒別：可根據6.1的描述，按GB/T20271-2006中6.1.3.1的要求，設計和實現會話層用戶自主保護級的身份鑒別功能，確保用戶身份的唯一性和真實性；

b)自主訪問控制：可根據6.2的描述，按GB/T20271-2006中6.1.3.2的要求，設計和實現會話層用戶自主保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：可根據6.7的描述，按GB/T20271-2006中6.1.3.3要求，設計和實現會話層用戶自主保護級的用戶數據完整性保護功能，保護傳輸數據的完整性。

7.1.1.6表示層

a)身份鑒別：可根據6.1的描述，按GB/T20271-2006中6.1.3.1的要求，設計和實現表示層用戶自主保護級的身份鑒別功能，確保用戶身份的唯一性和真實性；

b)自主訪問控制：可根據6.2的描述，按GB/T20271-2006中6.1.3.2的要求，設計和實現表示層用戶自主保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：可根據6.7的描述，按GB/T20271-2006中6.1.3.3要求，設計和實現表示層用戶自主保護級的用戶數據完整性保護功能，保護傳輸數據的完整性。

7.1.1.7應用層

a)身份鑒別：可根據6.1的描述，按GB/T20271-2006中6.1.3.1的要求，設計和實現應用層用戶自主保護級的身份鑒別功能，確保用戶身份的唯一性和真實性；

b)自主訪問控制：可根據6.2的描述，按GB/T20271-2006中6.1.3.2的要求，設計和實現應用層用戶自主保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：可根據6.7的描述，按GB/T20271-2006中6.1.3.3要求，設計和實現應用層用戶自主保護級的用戶數據完整性保護功能，保護傳輸數據的完整性。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第29頁。7.1.2第一級安全保證要求

7.1.2.1SSON自身安全保護

a)SSF物理安全保護：按GB/T20271-2006中6.1.4.1的要求，實現網絡系統用戶自主保護級SSF的物理安全保護；

b)SSF運行安全保護：按GB/T20271-2006中6.1.4.2的要求，實現網絡系統用戶自主保護級SSF的運行安全保護；

c)SSF數據安全保護：按GB/T20271-2006中6.1.4.3的要求，實現網絡系統用戶自主保護級SSF的數據安全保護；

d)資源利用：按GB/T20271-2006中6.1.4.4的要求，實現網絡系統用戶自主保護級的資源利用；

e)SSON訪問控制：按GB/T20271-2006中6.1.4.5的要求，實現網絡系統用戶自主保護級的SSON訪問控制。

7.1.2.2SSON設計和實現

a)配置管理：按GB/T20271-2006中6.1.5.1的要求，實現網絡系統用戶自主保護級的配置管理；

b)分發和操作：按GB/T20271-2006中6.1.5.2的要求，實現網絡系統用戶自主保護級的分發和操作；

c)分發和操作：GB/T20271-2006中6.1.5.3的要求，實現網絡系統用戶自主保護級的開發；

d)文檔要求：按GB/T20271-2006中6.1.5.4的要求，實現網絡系統用戶自主保護級的文檔設計；

e)生存周期支持：按GB/T20271-2006中6.1.5.5的要求，實現網絡系統用戶自主保護級的生存周期支持；

f)測試：按GB/T20271-2006中6.1.5.6的要求，實現網絡系統用戶自主保護級的測試。

7.1.2.3SSON安全管理

按GB/T20271-2006中6.1.6的要求，實現網絡系統用戶自主保護級的SSON安全管理。

7.2第二級：系統審計保護級

7.2.1第二級安全功能要求

7.2.1.1物理層

采用加密數據流的方法確保所傳送的數據受到應有的保密性和完整性保護，防止其遭受非授權的泄露或破壞。本安全保護等級按GB/T20271-2006中6.2.3.6的要求進行傳輸數據加密保護。該層所涉及的用戶數據完整性保護應滿足6.7和GB/T20271-2006中6.2.3.5的要求。

7.2.1.2鏈路層

a)身份鑒別：根據6.1的描述，按GB/T20271-2006中6.2.3.1的要求，設計和實現鏈路層系統審計保護級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即鏈路層實體鑒別；

b)自主訪問控制：根據6.2的描述，按GB/T20271-2006中6.2.3.2的要求，設計和實現鏈路層系統審計保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)用戶數據完整性：根據6.7的描述，按GB/T20271-2006中6.2.3.3的要求，設計和實現鏈路層系統審計保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第30頁。d)用戶數據保密性：根據6.8的描述，按GB/T20271-2006中6.2.3.4的要求，設計和實現鏈路層系統審計保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

7.2.1.3網絡層

a)身份鑒別：根據6.1的描述，按GB/T20271-2006中6.2.3.1的要求，設計和實現網絡層系統審計保護級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即網絡層實體鑒別；

b)自主訪問控制：根據6.2的描述，按GB/T20271-2006中6.2.3.2的要求，設計和實現網絡層系統審計保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)安全審計：根據6.6的描述，按GB/T20271-2006中6.2.2.3的要求，設計和實現網絡層系統審計保護級的審計功能；

d)用戶數據完整性：根據6.7的描述，按GB/T20271-2006中6.2.3.3的要求，設計和實現網絡層系統審計保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

e)用戶數據保密性：根據6.8的描述，按GB/T20271-2006中6.2.3.4的要求，設計和實現網絡層系統審計保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

7.2.1.4傳輸層

a)身份鑒別：根據6.1的描述，按GB/T20271-2006中6.2.3.1的要求，設計和實現傳輸層系統審計保護級的身份鑒別功能，提供通信雙方在首次建立連接時身份的真實性鑒別，并進行相互鑒別；

b)自主訪問控制：根據6.2的描述，按GB/T20271-2006中6.2.3.2的要求，設計和實現傳輸層系統審計保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)安全審計：根據6.6的描述，按GB/T20271-2006中6.2.2.3的要求，設計和實現傳輸層系統審計保護級的審計功能；

d)用戶數據完整性：根據6.7的描述，按GB/T20271-2006中6.2.3.3的要求，設計和實現傳輸層系統審計保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

e)用戶數據保密性：根據6.8的描述，按GB/T20271-2006中6.2.3.4的要求，設計和實現傳輸層系統審計保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

7.2.1.5會話層

a)身份鑒別：根據6.1的描述，按GB/T20271-2006中6.2.3.1的要求，設計和實現會話層系統審計保護級的身份鑒別功能，確保用戶身份的唯一性和真實性；

b)自主訪問控制：根據6.2的描述，按GB/T20271-2006中6.2.3.2的要求，設計和實現會話層系統審計保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)安全審計：根據6.6的描述，按GB/T20271-2006中6.2.2.3的要求，設計和實現會話層系統審計保護級的審計功能；

d)用戶數據完整性：根據6.7的描述，按GB/T20271-2006中6.2.3.3的要求，設計和實現會話層系統審計保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第31頁。性；

e)用戶數據保密性：根據6．8的描述，按GB/T20271-2006中6.2.3.4的要求，設計和實現會話層系統審計保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

7.2.1.6表示層

a)身份鑒別：根據6.1的描述，按GB/T20271-2006中6.2.3.1的要求，設計和實現表示層系統審計保護級的身份鑒別功能，確保用戶身份的唯一性和真實性；

b)自主訪問控制：根據6.2的描述，按GB/T20271-2006中6.2.3.2的要求，設計和實現表示層系統審計保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)安全審計：根據6.6的描述，按GB/T20271-2006中6.2.2.3的要求，設計和實現表示層系統審計保護級的審計功能；

d)用戶數據完整性：根據6.7的描述，按GB/T20271-2006中6.2.3.3的要求，設計和實現表示層系統審計保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

e)用戶數據保密性：根據6．8的描述，按GB/T20271-2006中6.2.3.4的要求，設計和實現表示層系統審計保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

7.2.1.7應用層

a)身份鑒別：根據6.1的描述，按GB/T20271-2006中6.2.3.1的要求，設計和實現應用層系統審計保護級的身份鑒別功能，確保用戶身份的唯一性和真實性；

b)自主訪問控制：根據6.2的描述，按GB/T20271-2006中6.2.3.2的要求，設計和實現應用層系統審計保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)安全審計：根據6.6的描述，按GB/T20271-2006中6.2.2.3的要求，設計和實現應用層系統審計保護級的審計功能；

d)用戶數據完整性：根據6.7的描述，按GB/T20271-2006中6.2.3.3的要求，設計和實現應用層系統審計保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

e)用戶數據保密性：根據6.8的描述，按GB/T20271-2006中6.2.3.4的要求，設計和實現應用層系統審計保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

7.2.2第二級安全保證要求

7.2.2.1SSON目身安全保護

a)SSF物理安全保護：按GB/T20271-2006中6.2.4.1的要求，實現網絡系統系統審計保護級SSF的物理安全保護；

b)SSF運行安全保護：按GB/T20271-2006中6.2.4.2的要求，實現網絡系統系統審計保護級SSF的運行安全保護；

c)SSF數據安全保護：按GB/T20271-2006中6.2.4.3的要求，實現網絡系統系統審計保護級SSF的數據安全保護；

d)資源利用：按GB/T20271-2006中6.2.4.4的要求，實現網絡系統系統審計保護級的資源利用；

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第32頁。e)SSON訪問控制：按GB/T20271-2006中6.2.4.5的要求，實現網絡系統系統審計保護級的SSON訪問控制。

7.2.2.2SSON設計和實現

a)配置管理：按GB/T20271-2006中6.2.5.1的要求，實現網絡系統系統審計保護級的配置管理；

b)分發和操作：按GB/T20271-2006中6.2.5.2的要求，實現網絡系統系統審計保護級的分發和操作；

c)開發：按GB/T20271-2006中6.2.5.3的要求，實現網絡系統系統審計保護級的開發；

d)文檔要求：按GB/T20271-2006中6.2.5.4的要求，實現網絡系統系統審計保護級的文檔設計；

e)生存周期支持：按GB/T20271-2006中6.2.5.5的要求，實現網絡系統系統審計保護級的生存周期支持；

f)測試：按GB/T20271-2006中6.2.5.6的要求，實現網絡系統系統審計保護級的測試。

7.2.2.3SSON安全管理

按GB/T20271-2006中6.2.6的要求，實現網絡系統系統審計保護級的SSON安全管理。

7.3第三級：安全標記保護級

7.3.1第三級安全功能要求

7.3.1.1物理層

應采用加密數據流的方法確保所傳送的數據受到應有的保密性和完整性保護，防止其遭受非授權的泄露或破壞。本安全保護等級應按GB／T20271--2006中6.3.3.9的要求進行傳輸數據加密保護。該層所涉及的用戶數據完整性保護應滿足6.7和GB／T20271--2006中6.3.3.7的要求。

7.3.1.2鏈路層

a)身份鑒別：應根據6.1的描述，按GB/T20271-2006中6.3.3.1的要求，設計和實現鏈路層安全標記保護級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即鏈路層實體鑒別；

b)自主訪問控制：應根據6.2的描述，按GB/T20271-2006中6.3.3.3的要求，設計和實現鏈路層安全標記保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)標記：應根據6.3的描述，按GB/T20271-2006中6.3.3.4的要求，設計和實現鏈路層安全標記保護級的標記功能，為主、客體設置所需要的敏感標記；

d)強制訪問控制：應根據6.4的描述，按GB/T20271-2006中6.3.3.5的要求，設計和實現鏈路層安全標記保護級的強制訪問控制功能，對來自網絡外部的訪問進行強制性控制，允許合法操作，拒絕非法操作；

e)數據流控制：應根據6.5的描述，按GB/T20271-2006中6.3.3.6的要求，設計和實現鏈路層安全標記保護級數據流控制功能，防止數據流的非法流動；

f)用戶數據完整性：應根據6.7的描述，按GB/T20271-2006中6.3.3.7的要求，設計和實現鏈路層安全標記保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

g)用戶數據保密性：應根據6.8的描述，按GB/T20271-2006中6.3.3.8的要求，設計和實現鏈路層安全標記保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性。

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第33頁。7.3.1.3網絡層

a)身份鑒別：應根據6.1的描述，按GB/T20271-2006中6.3.3.1的要求，設計和實現網絡層安全標記保護級的身份鑒別功能，提供通信雙方身份的真實性鑒別，即網絡級實體鑒別；

b)自主訪問控制：應根據6.2的描述，按GB/T20271-2006中6.3.3.3的要求，設計和實現網絡層安全標記保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)標記：應根據6.3的描述，按GB/T20271-2006中6.3.3.4的要求，設計和實現網絡層安全標記保護級的標記功能，為主、客體設置所需要的敏感標記；

d)強制訪問控制：應根據6.4的描述，按GB/T20271-2006中6.3.3.5的要求，設計和實現網絡層安全標記保護級的強制訪問控制功能，對來自網絡外部的訪問進行強制性控制，允許合法操作，拒絕非法操作；

e)數據流控制：應根據6.5的描述，按GB/T20271-2006中6.3.3.6的要求，設計和實現網絡層安全標記保護級的數據流控制功能，防止數據流的非法流動；

f)安全審計：應根據6.6的描述，按GB/T20271-2006中6.3.2.4的要求，設計和實現網絡層安全標記保護級的審計功能；

g)用戶數據完整性：應根據6.7的描述，按GB/T20271-2006中6.3.3.7的要求，設計和實現網絡層安全標記保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

h)用戶數據保密性：應根據6.8的描述，按GB/T20271-2006中6.3.3.8的要求，設計和實現網絡層安全標記保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性；

i)抗抵賴：應根據6.10的描述，按GB/T20271-2006中6.3.3.2的要求，設計和實現網絡層安全標記保護級的抗抵賴功能。

7.3.1.4傳輸層

a)身份鑒別：應根據6.1條的描述，按GB/T20271-2006中6.3.3.1的要求，設計和實現傳輸層安全標記保護級的身份鑒別功能，在首次建立連接時，進行(相互)身份鑒別；

b)自主訪問控制：應根據6.2的描述，按GB/T20271-2006中6.3.3.3的要求，設計和實現傳輸層安全標記保護級的自主訪問控制功能，對來自網絡外部的訪問進行控制，允許合法操作，拒絕非法操作；

c)標記：應根據6.3的描述，按GB/T20271-2006中6.3.3.4標記的要求，設計和實現傳輸層安全標記保護級的標記功能，為主、客體設置所需要的敏感標記；

d)強制訪問控制：應根據6.4的描述，按GB/T20271-2006中6.3.3.5的要求，設計和實現傳輸層安全標記保護級的強制訪問控制功能，對來自網絡外部的訪問進行強制性控制，允許合法操作，拒絕非法操作；

e)數據流控制：應根據6.5的描述，按GB/T20271-2006中6.3.3.6的要求，設計和實現傳輸層安全標記保護級的數據流控制功能，防止數據流的非法流動；

f)安全審計：應根據6.6的描述，按GB/T20271-2006中6.3.2.4的要求，設計和實現傳輸層安全標記保護級的審計功能；

g)用戶數據完整性：應根據6.7的描述，按GB/T20271-2006中6.3.3.7的要求，設計和實現傳輸層安全標記保護級的用戶數據完整性保護功能，保護存儲、傳輸和處理數據的完整性；

信息安全技術-網絡基礎安全技術要求全文共49頁，當前為第34頁。h)用戶數據保密性：應根據6.8的描述，按GB/T20271-2006中6.3.3.8的要求，設計和實現傳輸層安全標記保護級的用戶數據保密性保護功能，保護存儲、傳輸和處理數據的保密性；

i)抗抵賴：應根據6.10的描述，按GB/T20271-2006中6.3.3.2的要求，設計和實現傳輸層安全標記保護級的抗抵賴功能。

7.3.1.5會話層

a)身份鑒別：應根據6.1的描述，按GB/T20271-2006中6.3.3.1的要求，設計和實現會