信息系統等級愛惜平安設計技術要求

引言

《中華人民共和國計算機信息系統平安愛惜條例》（國務院令第147

號）明確規定我國“計算機信息系統實行平安等級愛惜”。依據國務院147

號令要求制訂發布的強制性國家標準《計算機信息系統平安愛惜

等級劃分準則》（GB17859-1999）為計算機信息系統平安愛惜等級的劃

分奠定了技術基礎。《國家信息化領導小組關于加強信息平安保障工作的

看法》（中辦發［2003］27號）明確指出實行信息平安等級

愛惜，“要重點愛惜基礎信息網絡和關系國家平安、經濟命脈、社會穩

定等方面的重要信息系統，抓緊建立信息平安等級愛惜制度”。《關于信

息平安等級愛惜工作的實施看法》（公通字［2004］66號）和《

信息平安等級愛惜管理方法》（公通字［2007M3號）確定了實施信息

平安等級愛惜制度的原則、工作職責劃分、實施要求和實施支配，明確了

開展信息平安等級愛惜工作的基本內容、工作流程、工作方法

等。

上述信息平安等級愛惜相關法規、政策文件、國家標準和公共平安行業標

準的出臺，為信息平安等級愛惜工作的開展供應了法律、政策、標準依

據。

2007年7月全國開展重要信息系統等級愛惜定級工作，標記著信息平安等

級愛惜工作在我國全面綻開。在開展信息平安等級愛惜定級和備案工作基

礎上，各單位、各部門正在依據信息平安等級愛惜有關政

策規定和技術標準規范，開展信息系統平安建設和加固工作，建立、健

全信息平安管理制度，落實平安愛惜技術措施，全面實行信息平安等級愛

惜制度。為了協作信息系統平安建設和加固工作，特制

訂本標準。本標準規范了信息系統等級愛惜平安設計技術要求，包括

第一級至第五級系統平安愛惜環境的平安計算環境、平安區域邊界、平安

通信網絡和平安管理中心等方面的設計技術要求，以與定級系

統互聯的設計技術要求。涉與物理平安、平安管理、平安運維等方面的

要求分別參見參考文獻［9］、［2］、［7］、［10］等。進行平安技術

設計時，要依據信息系統定級狀況，確定相應平安策略，采

取相應級別的平安愛惜措施。

在第五章至第九章中，每一級系統平安愛惜環境設計比較低一級系統平

安愛惜環境設計所增加和增加的部分，用“黑體”表示。

信息平安技術

信息系統等級愛惜平安設計技術要求

1范圍

本標準依據國家信息平安等級愛惜的要求，規范了信息系統等級愛惜平

安設計技術要求。

本標準適用于指導信息系統運營運用單位、信息平安企業、信息平安服務

機構開展信息系統等級愛惜平安技術方案的設計和實施，也可作為信息平

安職能部門進行監督、檢查和指導的依據。

2規范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期

的引用文件，其隨后全部的修改單（不包括勘誤的內容）或修訂版均不適

用于本標準，然而，激勵依據本標準達成協議的各方探討是

否可運用這些文件的最新版本。凡是不注日期的引用文件，其最新版本

適用于本標準。

GB17859-1999計算機信息系統平安愛惜等級劃分準則

3術語和定義

GB17859-1999確立的以與下列術語和定義適用于本標準。

3.1

定級系統classifiedsystem

依據參考文獻［11］已確定平安愛惜等級的信息系統。定級系統分為第一級、

其次級、第三級、第四級和第五級信息系統。

3.2

定級系統平安愛惜環境securityenvironmentofclassifiedsystem

由平安計算環境、平安區域邊界、平安通信網絡和（或）平安管理中心構

3.6

平安管理中心securitymanagementcenter

對定級系統的平安策略與平安計算環境、平安區域邊界和平安通信網絡上

的平安機制實施統一管理的平臺。

其次級與其次級以上的定級系統平安愛惜環境須耍設置平安管理中心，稱

為其次級平安管理中心、第三級平安管理中心、第四級平安管理中心和第

五級平安管理中心。

3.7

跨定級系統平安管理中心securitymanagementcenterforcross

classifiedsystem跨定級系統平安管理中心是對相同或不同等級的定級

系統之間互聯的平安策略與平安互聯部件上的平安機制實施統一管

理的平臺。

3.8

定級系統互聯classifiedsysteminterconnection

通過平安互聯部件和跨定級系統平安管理中心實現的相同或不同等級的

定級系統平安愛惜環境之間的平安連接。

4信息系統等級愛惜平安技術設計概述

信息系統等級愛惜平安技術設計包括各級系統平安愛惜環境的設計與

其平安互聯的設計，如圖1所示。各級系統平安愛惜環境由相應級別的平

安計算環境、平安區域邊界、平安通信網絡和（或）平安管理

中心組成。定級系統互聯由平安互聯部件和跨定級系統平安管理中心組

成。

第一級系統第二級系統.第三級系統第四級系統第五級系統

安全保護環境安全保護環境安全保護環境安全保護環境安全保護環境

第

第

第

第

第

第

第

第

第

第

第

第

第

第

第

三

二

二

二

三

三

四

四

四

五

五

五

級

級

級

級

級

級

級

緞

級

級

級

級

級

級

級

安

安

安

安

安

安

安

安

安

安

安

安

安

安

安

全

全

全

全

全

全

全

全

全

全

全

全

全

全

全

區

計

通小33

計

區

通

通

通

通

計

區

計

區

區

W計

域

算

信

域

信

信

信

信

算

算

域

算

域

域

算

邊

環

網

邊

網

網

網

網

環

環

邊

環

邊

邊

環

界

境

絡

界

絡

絡

絡

絡

境

境

界

境

界

界

境

第二級安全管理中心第三級安全管理中心第四級安全管理中心第五級安全管理中心

?nann

定級系統互聯?安全互聯部件

吏

跨定級系統安全管理中心

圖1信息系統等級保護安全技術設計框架

本標準以下章節，對圖1各個部分提出了相應的設計技術要求（第五級

信息平安愛惜環境的設計要求除外）。附錄A給出了訪問限制機制設計，

附錄B給出了第三級系統平安愛惜環境設計示例。

5第一級系統平安愛惜環境設計

5.1設計目標

第一級系統平安愛惜環境的設計目標是：依據GB17859-1999對第一級

系統的平安愛惜要求，實現定級系統的自主訪問限制，使系統用戶對其所

屬客體具有自我愛惜的實力。

5.2設計策略

第一級系統平安愛惜環境的設計策略是：遵循GB17859T999的4.1

中相關要求，以身份鑒別為基礎，供應用戶和（或）用戶組對文件與數據

庫表的自主訪問限制，以實現用戶與數據的隔離，運用戶具備

自主平安愛惜的實力；以包過濾手段供應區域邊界愛惜；以數據校驗和

惡意代碼防范等手段供應數據和系統的完整性愛惜。

第一級系統平安愛惜環境的設計通過第一級的平安計算環境、平安區域邊

界以與平安通信網絡的設計加以實現。

5.3設計技術要求

5.3.1平安計算環境設計技術要求

第一級平安計算環境從以下方面進行平安設計：

a）用戶身份鑒別

應支持用戶標識和用戶鑒別。在每一個用戶注冊到系統時，接受用戶名和

用戶標識符標識用戶身份；在每次用戶登錄系統時，接受口令鑒別機制進

行用戶身份鑒別，并對口令數據進行愛惜。

b）自主訪問限制

應在平安策略限制范圍內，運用戶/用戶組對其創建的客體具有相應的訪

問操作權限，并能將這些權限的部分或全部授予其他用戶/用戶組。訪問

限制主體的粒度為用戶/用戶組級，客體的粒度為文件或數據

庫表級。訪問操作包括對客體的創建、讀、寫、修改和刪除等。

C）用戶數據完整性愛惜

可接受常規校驗機制，檢驗存儲的用戶數據的完整性，以發覺其完整性是

否被破壞。

d）惡意代碼防范

應安裝防惡意代碼軟件或配置具有相應平安功能的操作系統，并定期進行

升級和更新，以防范和清除惡意代碼。

5.3.2平安區域邊界設計技術要求

第一級平安區域邊界從以下方面進行平安設計：

a）區域邊界包過濾

可依據區域邊界平安限制策略，通過檢查數據包的源地址、目的地址、傳

輸層協議和請求的服務等，確定是否允許該數據包通過該區域邊界。

b）區域邊界惡意代碼防范

可在平安區域邊界設置防惡意代碼軟件，并定期進行升級和更新，以防止

惡意代碼入侵。

5.3.3平安通信網絡設計技術要求

a）通信網絡數據傳輸完整性愛惜

可接受常規校驗機制，檢驗通信網絡數據傳輸的完整性，并能發覺其完整

性被破壞。

6其次級系統平安愛惜環境設計

6.1設計目標

其次級系統平安愛惜環境的設計目標是：依據GB17859-1999對其次級系

統的平安愛惜要求，在第一級系統平安愛惜環境的基礎上，增加系統平安

審計、客體重用等平安功能，并實施以用戶為基本粒度的

自主訪問限制，使系統具有更強的自主平安愛惜實力。

6.2設計策略

其次級系統平安愛惜環境的設計策略是：遵循GB17859T999的4.2

中相關要求，以身份鑒別為基礎，供應單個用戶和（或）用戶組對共享文

件、數據庫表等的自主訪問限制；以包過濾手段供應區域邊界

愛惜；以數據校驗和惡意代碼防范等手段，司時通過增加系統平安審計、

客體平安重用等功能，運用戶對自己的行為負責，供應用戶數據保密性和

完整性愛惜，以增加系統的平安愛惜實力。

其次級系統平安愛惜環境的設計通過其次級的平安計算環境、平安區域邊

界、平安通信網絡以與平安管理中心的設計加以實現。

6.3設計技術要求

6.3.1平安計算環境設計技術要求

其次級平安計算環境從以下方面進行平安設計：

a）用戶身份鑒別

應支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統時，接受用戶名

和用戶標識符標識用戶身份，并確保在系統整個生存周期用戶標識的唯一

性；在每次用戶登錄系統時，接受受控的口令或具有相應

平安強度的其他機制進行用戶身份鑒別，并對鑒別數據進行保密性和完

整性愛惜。

b）自主訪問限制

應在平安策略限制范圍內，運用戶對其創建的客體具有相應的訪問操作權

限，并能將這些權限的部分或全部授予其他用戶。訪問限制主體的粒度為

用戶級，客體的粒度為文件或數據庫表級。訪問操作包括

對客體的創建、讀、寫、修改和刪除等。

c）系統平安審計

應供應平安審計機制，記錄系統的相關平安事務。審計記錄包括平安事務

的主體、客體、時間、類型和結果等內容。該機制應供應審計記錄查詢、

分類和存儲愛惜，并可由平安管理中心管理。

d）用戶數據完整性愛惜

可接受常規校驗機制，檢驗存儲的用戶數據的完整性，以發覺其完整性是

否被破壞。

e）用戶數據保密性愛惜

可接受密碼等技術支持的保密性愛惜機制，對在平安計算環境中存儲和處

理的用戶數據進行保密性愛惜二

f）客體平安重用

應接受具有平安客體復用功能的系統軟件或具有相應功能的信息技術產

品，對用戶運用的客體資源，在這些客體資源重新支配前，對其原運用者

的信息進行清除，以確保信息不被泄露。

g）惡意代碼防范

應安裝防惡意代碼軟件或配置具有相應平安功能的操作系統，并定期進行

升級和更新，以防范和清除惡意代碼。

6.3.2平安區域邊界設計技術要求

其次級平安區域邊界從以下方面進行平安設計：

a）區域邊界包過濾

應依據區域邊界平安限制策略，通過檢查數據包的源地址、目的地址、傳

輸層協議和請求的服務等，確定是否允許該數據包通過該區域邊界。

b）區域邊界平安審計

應在平安區域邊界設置審計機制，并由平安管理中心統一管理。

C）區域邊界惡意代碼防范

應在平安區域邊界設置防惡意代碼網關，由平安管理中心管理。

d）區域邊界完整性愛惜

應在區域邊界設置探測器，探測非法外聯等行為，并與時報告平安管理中

心。

6.3.3平安通信網絡設計技術要求

其次級平安通信網絡從以下方面進行平安設計：

a）通信網絡平安審計

應在平安通信網絡設置審計機制，由平安管理中心管理。

b）通信網絡數據傳輸完整性愛惜

可接受由密碼等技術支持的完整性校驗機制，以實現通信網絡數據傳輸完

整性愛惜。

c）通信網絡數據傳輸保密性愛惜

可接受由密碼等技術支持的保密性愛惜機制，以實現通信網絡數據傳輸保

密性愛惜。

6.3.4平安管理中心設計技術要求

6.3.4.1系統管理

可通過系統管理員對系統的資源和運行進行配置、限制和管理，包括用

戶身份和授權管理、系統資源配置、系統加載和啟動、系統運行的異樣處

理、數據和設備的備份與復原以與惡意代碼防范等。

應對系統管理員進行身份鑒別，只允許其通過特定的叮囑或操作界面進行

系統管理操作，并對這些操作進行審計。

6.3.4.2審計管理

可通過平安審計員對分布在系統各個組成部分的平安審計機制進行集

中管理，包括依據平安審計策略對審計記錄進行分類；供應按時間段開啟

和關閉相應類型的平安審計機制；對各類審計記錄進行存儲、

管理和查詢等。

應對平安審計員進行身份鑒別，并只允許其通過特定的叮囑或操作界面進

行平安審計操作。

7第三級系統平安愛惜環境設計

7.1設計目標

第三級系統平安愛惜環境的設計目標是：依據GB17859-1999對第三級

系統的平安愛惜要求，在其次級系統平安愛惜環境的基礎上，通過實現基

于平安策略模型和標記的強制訪問限制以與增加系統的審計

機制，使系統具有在統一平安策略管控下，愛惜敏感資源的實力。

7.2設計策略

第三級系統平安愛惜環境的設計策略是：在其次級系統平安愛惜環境的

基礎上,遵循GB17859-1999的4.3中相關要求,構造非形式化的平安策

略模型，對主、客體進行平安標記，表明主、客體的級別分

類和非級別分類的組合，以此為基礎，依據強制訪問限制規則實現對主

體與其客體的訪問限制。

第三級系統平安愛惜環境的設計通過第三級的平安計算環境、平安區域邊

界、平安通信網絡以與平安管理中心的設計加以實現。

7.3設計技術要求

7.3.1平安計算環境設計技術要求

第三級平安計算環境從以下方面進行平安設計：

a）用戶身份鑒別

應支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統時，接受用戶名

和用戶標識符標識用戶身份，并確保在系統整個生存周期用戶標識的唯一

性；在每次用戶登錄系統時，接受受平安管理中心限制的

口令、令牌、基于生物特征、數字證書以與其他具有相應平安強度的兩

種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數據進行保密性和

完整性愛惜。

b）自主訪問限制

應在平安策略限制范圍內，運用戶對其創建的客體具有相應的訪問操作權

限，并能將這些權限的部分或全部授予其他用戶。自主訪問限制主體的粒

度為用戶級，客體的粒度為文件或數據庫表級和（或）記

錄或字段級。自主訪問操作包括對客體的創建、讀、寫、修改和刪除等。

C）標記和強制訪問限制

在對平安管理員進行身份鑒別和權限限制的基礎上，應由平安管理員通過

特定操作界面對主、客體進行平安標記；應按平安標記和強制訪問限制規

則，對確定主體訪問客體的操作進行限制。強制訪問限制

主體的粒度為用戶級，客體的粒度為文件或數據庫表級。應確保平安計

算環境內的全部主、客體具有一樣的標記信息，并實施相同的強制訪問限

制規則。

d）系統平安審計

應記錄系統的相關平安事務。審計記錄包括平安事務的主體、客體、時間、

類型和結果等內容。應供應審計記錄查詢、分類、分析和存儲愛惜；能對

特定平安事務進行報警；確保審計記錄不被破壞或非授

權訪問。應為平安管理中心供應接口；對不能由系統獨立處理的平安事

務，供應由授權主體調用的接口。

e）用戶數據完整性愛惜

應接受密碼等技術支持的完整性校驗機制，檢驗存儲和處理的用戶數據的

完整性，以發覺其完整性是否被破壞，且在其受到破壞時能對重要數據進

行復原。

f）用戶數據保密性愛惜

接受密碼等技術支持的保密性愛惜機制，對在平安計算環境中存儲和處理

的用戶數據進行保密性愛惜。

g）客體平安重用

應接受具有平安客體復用功能的系統軟件或具有相應功能的信息技術

產品，對用戶運用的客體資源，在這些客體資源重新支配前，對其原運用

者的信息進行清除，以確保信息不被泄露。

h）程序可信執行愛惜

可構建從操作系統到上層應用的信任鏈，以實現系統運行過程中可執行程

序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時

實行措施復原，例如接受可信計算等技術。

7.3.2平安區域邊界設計技術要求

第三級平安區域邊界從以下方面進行平安設計：

a）區域邊界訪問限制

應在平安區域邊界設置自主和強制訪問限制機制，實施相應的訪問限制策

略，對進出平安區域邊界的數據信息進行限制，阻擋非授權訪問。

b）區域邊界包過濾

應依據區域邊界平安限制策略，通過檢查數據包的源地址、目的地址、傳

輸層協議、請求的服務等，確定是否允許該數據包進出該區域邊界。

C）區域邊界平安審計

應在平安區域邊界設置審計機制，由平安管理中心集中管理，并對確認的

違規行為與時報警。

d）區域邊界完整性愛惜

應在區域邊界設置探測器，例如外接探測軟件，探測非法外聯和入侵行為,

并與時報告平安管理中心。

7.3.3平安通信網絡設計技術要求

第三級平安通信網絡從以下方面進行平安設計：

a）通信網絡平安審計

應在平安通信網絡設置審計機制，由平安管理中心集中管理，并對確認的

違規行為進行報警。

b）通信網絡數據傳輸完整性愛惜

應接受由密碼等技術支持的完整性校驗機制，以實現通信網絡數據傳輸完

整性愛惜，并在發覺完整性被破壞時進行復原。

C）通信網絡數據傳輸保密性愛惜

接受由密碼等技術支持的保密性愛惜機制，以實現通信網絡數據傳輸保密

性愛惜。

d）通信網絡可信接入愛惜

可接受由密碼等技術支持的可信網絡連接機制，通過對連接到通信網絡的

設備進行可信檢驗，確保接入通信網絡的設備真實可信，防止設備的非法

接入。

7.3.4平安管理中心設計技術要求

7.3.4.1系統管理

應通過系統管理員對系統的資源和運行進行配置、限制和管理，包括用

戶身份管理、系統資源配置、系統加載和啟動、系統運行的異樣處理以與

支持管理本地和（或）異地災難備

份與復原等。

應對系統管理員進行身份鑒別，只允許其通過特定的叮囑或操作界面進行

系統管理操作，并對這些操作進行審計。

7.3.4.2平安管理

應通過平安管理員對系統中的主體、客體進行統一標記，對主體進行授

權，配置一樣的平安策略。

應對平安管理員進行身份鑒別，只允許其通過特定的叮囑或操作界面進行

平安管理操作，并進行審計。

7.3.4.3審計管理

應通過平安審計員對分布在系統各個組成部分的平安審計機制進行集

中管理，包括依據平安審計策略對審計記錄進行分類；供應按時間段開啟

和關閉相應類型的平安審計機制；對各類審計記錄進行存儲、

管理和查詢等。對審計記錄應進行分析，并依據分析結果進行處理。

應對平安審計員進行身份鑒別，只允許其通過特定的叮囑或操作界面進

行平安審計操。

8第四級系統平安愛惜環境設計

8.1設計目標

第四級系統平安愛惜環境的設計目標是：依據GB17859T999對第四級

系統的平安愛惜要求，建立一個明確定義的形式化平安策略模型，將自主

和強制訪問限制擴展到全部主體與客體，相應增加其他平安

功能強度；將系統平安愛惜環境結構化為關鍵愛惜元素和非關鍵愛惜元

素，以使系統具有抗滲透的實力。

8.2設計策略

第四級系統平安愛惜環境的設計策略是：在第三級系統平安愛惜環境設

計的基礎上,遵循GB17859T999的4.4中相關要求,通過平安管理中心

明確定義和維護形式化的平安策略模型。依據該模型，接受

對系統內的全部主、客體進行標記的手段，實現全部主體與客體的強制

訪問限制。同時，相應增加身份鑒別、審計、平安管理等功能，定義平安

部件之間接口的途徑，實現系統平安愛惜環境關鍵愛惜部件

和非關鍵愛惜部件的區分，并進行測試和審核，保障平安功能的有效

性。

第四級系統平安愛惜環境的設計通過第四級的平安計算環境、平安區域邊

界、平安通信網絡以與平安管理中心的設計加以實現。

8.3設計技術要求

8.3.1平安計算環境設計技術要求

第四級平安計算環境從以下方面進行平安設計：

a）用戶身份鑒別

應支持用戶標識和用戶鑒別。在每一個用戶注冊到系統時，接受用戶名和

用戶標識符標識用戶身份，并確保在系統整個生存周期用戶標識的唯一性;

在每次用戶登錄和重新連接系統時，接受受平安管理中

心限制的口令、基于生物特征的數據、數字證書以與其他具有相應平安

強度的兩種或兩種以上的組合機制進行用戶身份鑒別，且其中一種鑒別技

術產生的鑒別數據是不行替代的，并對鑒別數據進行保密性

和完整性愛惜。

b）自主訪問限制

應在平安策略限制范圍內，運用戶對其創建的客體具有相應的訪問操作權

限，并能將這些權限部分或全部授予其他用戶。自主訪問限制主體的粒度

為用戶級，客體的粒度為文件或數據庫表級和（或）記錄

或字段級。自主訪問操作包括對客體的創建、讀、寫、修改和刪除等。

c）標記和強制訪問限制

在對平安管理員進行身份鑒別和權限限制的基礎上，應由平安管理員通過

特定操作界面對主、客體進行平安標記，將范制訪問限制擴展到全部主體

與客體；應按平安標記和強制訪問限制規則，對確定主體

訪問客體的操作進行限制。強制訪問限制主體的粒度為用戶級，客體的

粒度為文件或數據庫表級。應確保平安計算/境內的全部主、客體具有一

樣的標記信息，并實施相同的強制訪問限制規則。

d）系統平安審計

應記錄系統相關平安事務。審計記錄包括平安事務的主體、客體、時間、

類型和結果等內容。應供應審計記錄查詢、分類、分析和存儲愛惜；能對

特定平安事務進行報警，終止違例進程等；確保審計記錄

不被破壞或非授權訪問以與防止審計記錄丟失等。應為平安管理中心供

應接口；對不能由系統獨立處理的平安事務，供應由授權主體調用的接口。

e）用戶數據完整性愛惜

應接受密碼等技術支持的完整性校驗機制，檢驗存儲和處理的用戶數據的

完整性，以發覺其完整性是否被破壞，且在其受到破壞時能對重要數據進

行復原。

f）用戶數據保密性愛惜

接受密碼等技術支持的保密性愛惜機制，對在平安計算環境中的用戶數據

進行保密性愛惜。

g）客體平安重用

應接受具有平安客體復用功能的系統軟件或具有相應功能的信息技術產

品，對用戶運用的客體資源，在這些客體資源重新支配前，對其原運用者

的信息進行清除，以確保信息不被泄露。

h）程序可信執行愛情

應構建從操作系統到上層應用的信任鏈，以實現系統運行過程中可執行程

序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時

實行措施復原，例如接受可信計算等技術。

8.3.2平安區域邊界設計技術要求

第四級平安區域邊界從以下方面進行平安設計：

a）區域邊界訪問限制

應在平安區域邊界設置自主和強制訪問限制機制，實施相應的訪問限制策

略，對進出平安區域邊界的數據信息進行限制，阻擋非授權訪問。

b）區域邊界包過濾

應依據區域邊界平安限制策略，通過檢查數據包的源地址、目的地址、傳

輸層協議、請求的服務等，確定是否允許該數據包進出受愛惜的區域邊界。

c）區域邊界平安審計

應在平安區域邊界設置審計機制，通過平安管理中心集中管理，對確認的

違規行為與時報警并做出相應處置。

d）區域邊界完整性愛惜

應在區域邊界設置探測器，例如外接探測軟件，探測非法外聯和入侵行為,

并與時報告平安管理中心。

8.3.3平安通信網絡設計技術要求

第四級平安通信網絡從以下方面進行平安設計：

a）通信網絡平安審計

應在平安通信網絡設置審計機制，由平安管理中心集中管理，并對確認的

違規行為進行報警，且做出相應處置

b）通信網絡數據傳輸完整性愛惜

應接受由密碼等技術支持的完整性校驗機制，以實現通信網絡數據傳輸完

整性愛惜，并在發覺完整性被破壞時進行復原。

c）通信網絡數據傳輸保密性愛惜

接受由密碼等技術支持的保密性愛惜機制，以實現通信網絡數據傳輸保密

性愛^惜。

d）通信網絡可信接入愛惜

應接受由密碼等技術支持的可信網絡連接機制，通過對連接到通信網絡的

設備進行可信檢驗，確保接入通信網絡的設備真實可信，防止設備的非法

接入。

8.3.4平安管理中心設計技術要求

8.3.4.1系統管理

應通過系統管理員對系統的資源和運行進行配置、限制和管理，包括用

戶身份管理、系統資源配置、系統加載和啟用、系統運行的異樣處理以與

支持管理本地和異地災難備份與復原等。

應對系統管理員進行身份鑒別，只允許其通過特定的叮囑或操作界面進行

系統管理操作，并對這些操作進行審計。

8.3.4.2平安管理

應通過平安管理員對系統中的主體、客體進行統一標記，對主體進行授

權，配置一樣的平安策略，并確保標記、授權和平安策略的數據完整性。

應對平安管理員進行身份鑒別，只允許其通過特定的叮囑或

操作界面進行平安管理操作，并進行審計。

8.3.4.3審計管理

應通過平安審計員對分布在系統各個組成部分的平安審計機制進行集

中管理，包括依據平安審計策略對審計記錄進行分類；供應按時間段開啟

和關閉相應類型的平安審計機制；對各類審計記錄進行存儲?、

管理和查詢等。對審計記錄應進行分析，并依據分析結果進行與時處

理。

應對平安審計員進行身份鑒別，只允許其通過特定的叮囑或操作界面進行

平安審計操作。

8.3.5系統平安愛惜環境結構化設計技術要求

8.3.5.1平安愛惜部件結構化設計技術要求

第四級系統平安愛惜環境各平安愛惜部件的設計應基于形式化的平安

策略模型。平安愛惜部件應劃分為關鍵平安愛惜部件和非關鍵平安愛惜部

件，防止違反平安策略致使敏感信息從關鍵平安愛惜部件流向

非關鍵平安愛惜部件。關鍵平安愛惜部件應劃分功能層次，明確定義功

能層次間的調用接口，確保接口之間的信息平安交換。

8.3.5.2平安愛惜部件互聯結構化設計技術要求

第四級系統各平安愛惜部件之間互聯的接口功能與其調用關系應明確

定義；各平安愛惜部件之間互聯時，須要通過可信驗證機制相互驗證對方

的可信性，確保平安愛惜部件間的可信連接。

8.3.5.3重要參數結構化設計技術要求

應對第四級系統平安愛惜環境設計實現的與平安策略相關的重要參數

的數據結構給出明確定義，包括參數的類型、運用描述以與功能說明等,

并用可信驗證機制確保數據不被篡改。

9第五級系統平安愛惜環境設計

9.1設計目標

第五級系統平安愛惜環境的設計目標是：依據GB17859T999對第五級

系統的平安愛惜要求，在第四級系統平安愛惜環境的基礎上，實現訪問監

控器，仲裁主體對客體的訪問，并支持平安管理職能。審計

機制可依據審計記錄與時分析發覺平安事務并進行報警，供應系統復原

機制，以使系統具有更強的抗滲透實力。

9.2設計策略

第五級系統平安愛惜環境的設計策略是：遵循GB17859-1999的4.5

中“訪問監控器本身是抗篡改的；必需足夠小，能夠分析和測試”。在設

計和實現訪問監控器時，應盡力降低其困難性；供應系統復原機

制；使系統具有更強的抗滲透實力；所設計的訪問監控器能進行必要的

分析與測試，具有抗篡改實力。

第五級系統平安愛惜環境的設計通過第五級的平安計算環境、平安區域邊

界、平安通信網絡以與平安管理中心的設計加以實現。

9.3設計技術要求

第五級系統平安愛惜環境設計技術要求另行制定。

10定級系統互聯設計

10.1設計目標

定級系統互聯的設計目標是：對相同或不同等級的定級系統之間的互聯、

互通、互操作進行平安愛惜，確保用戶身份的真實性、操作的平安性以與

抗抵賴性，并按平安策略對信息流向進行嚴格限制，確保

進出平安計算環境、平安區域邊界以與平安通信網絡的數據平安。

10.2設計策略

定級系統互聯的設計策略是：遵循GB17859-1999對各級系統的平安愛

惜要求，在各定級系統的計算環境平安、區域邊界平安和通信網絡平安的

基礎上，通過平安管理中心增加相應的平安互聯策略，保持

用戶身份、主/客體標記、訪問限制策略等平安要素的一樣性，對互聯

系統之間的互操作和數據交換進行平安愛惜。

10.3設計技術要求

10.3.1平安互聯部件設計技術要求

應通過通信網絡交換網關與各定級系統平安愛惜環境的平安通信網絡

部件相連接，并按互聯互通的平安策略進行信息交換，實現平安互聯部件。

平安策略由跨定級系統平安管理中心實施。

10.3.2跨定級系統平安管理中心設計技術要求

應通過平安通信網絡部件與各定級系統平安愛惜環境中的平安管理中

心相連，主要實施跨定級系統的系統管理、平安管理和審計管理。

系統管理

應通過系統管理員對平安互聯部件與相同和不同等級的定級系統中與

平安互聯相關的系統資源和運行進行配置和管理，包括用戶身份管理、平

安互聯部件資源配置和管理等。

平安管理

應通過平安管埋員對相同和不同等級的定級系統中與平安互聯相關的

主/客體進行標記管理，使其標記能精確反映主/客體在定級系統中的平安

屬性；對主體進行授權，配置統一的平安策略，并確保授權在

相同和不同等級的定級系統中的合理性。

審計管理

應通過平安審計員對平安互聯部件的平安審計機制、各定級系統的平安

審計機制以與與跨定級系統互聯有關的平安審計機制進行集中管理。包括

依據平安審計策略對審計記錄進行分類；供應按時間段開啟

和關閉相應類型的平安審計機制；對各類審計記錄進行存儲?、管理和查

詢等。對審計記錄應進行分析，并依據分析結果進行與時處理。

附錄A

（資料性附錄）

訪問限制機制設計

A.1自主訪問限制機制設計

系統在初始配置過程中，平安管理中心首先須要對系統中的主體與客體

進行登記命名，然后依據自主訪問限制平安策略，依據主體對其創建客體

的授權叮囑，為相關主體授權，規定主體允許訪問的客體和

操作，并形成訪問限制列表。自主訪問限制機制結構如圖A.1所示。

用戶登錄系統時，首先進行身份鑒別，經確認為合法的注冊用戶可登錄系

統，并執行相應的程序。當執行程序主體發出訪問系統中客體資源的請求

后，自主訪問限制平安機制將截獲該請求，然后查詢對應

訪問限制列表。假如該請求符合自主訪問限制列表規定的權限，則允許

其執行；否則將拒絕執行，并將此行為記錄在審計記錄中。

A.2強制訪問限制機制設計

系統在初始配置過程中，平安管理中心須要對系統中的確定主體與其所

限制的客體實施身份管理、標記管理、授權管理和策略管理。身份管理確

定系統中全部合法用戶的身份、工作密鑰、證書等與平安相

關的內容。標記管理依據業務系統的須要，結合客體資源的重要程度，

確定系統中全部客體資源的平安級別與范疇，生成全局客體平安標記列表;

同時依據用戶在業務系統中的權限和角色確定主體的平安

級別與范疇，生成全局主體平安標記列表。授權管理依據業務系統需求

和平安狀況，授予用戶訪問客體資源的權限，生成強制訪問限制策略和級

別調整策略列表。策略管理則依據業務系統的需求，生成與

執行主體相關的策略，包括強制訪問限制策略和級別調整策略。除此之

外，平安審計員須要通過平安管理中心制定系統審計策略，實施系統的審

計管理。強制訪問限制機制結構如圖A.2所示。

系統在初始執行時，首先要求用戶標識自己的身份，經過系統身份認證

確認為授權主體后，系統將下載全局主/客體平安標記列表與與該主體對

應的訪問限制列表，并對其進行初始化。當執行程序主體發出

訪問系統中客體資源的請求后，系統平安機制將截獲該請求，并從中取

出訪問限制相關的主體、客體、操作三要素信息，然后查詢全局主/客體

平安標記列表，得到主/客休的平安標記信息,，并依據強制訪

問限制策略對該請求實施策略符合性檢查。假如該請求符合系統強制訪

問限制策略，則系統將允許該主體執行資源訪問。否則，系統將進行級別

調整審核，即依據級別調整策略，推斷發出該請求的主體是否有權訪問該

客體。假如上述檢查通過，系統同樣允許該主體執行資源訪問，否則，該

請求將被系統拒絕執行。系統強制訪問限制機制在執行平安策略過程中,

須要依據平安審計員制定的審計策略，對用戶的請求與平安決策結果進行

審計，并且將生成的審計記錄發送到審計服務器存儲，供平安審計員管

理。

執行程序主體請求訪同客體

執行拒絕

返回返回

主手

身份/標記

符合

鬻M曾審計

強制訪問用制執行

強制訪問控制級別調隹

策略策略

用戶身份管理標記曾理、授權管理、第略管理審計曾理

安全胃理中心

圖A.2強制訪問控制機制結構

附錄B

（資料性附錄）

第三級系統平安愛惜環境設計示例

B.1功能與流程

依據“一個中心”管理下的“三重愛惜”體系框架，構建平安機制和策

略，形成定級系統的平安愛惜環境。該環境分為如下四部分：平安計算環

境、平安區域邊界、平安通信網絡和平安管理中心。每個部分由1

個或若干個子系統（平安愛惜部件）組成，子系統具有平安愛惜功能獨

立完整、調用接口簡潔、與平安產品相對應和易于管理等特征。平安計算

環境可細分為節點子系統和典型應用支撐子系統；平安管理

中心可細分為系統管理子系統、平安管理子系統和審計子系統。以上各

子系統之間的邏輯關系如圖B.1所示。

安全計■環境安至通信網絡

___jrJB2￡2

4JltXHXX

應

用

房

電寓|

拓

m

節

區

■由

信

域:

少

*冏

邊

于

■絡

界

系

子

干?

統

w系

統

戰

身定統買統安全管理*心

圖B.1第三皴系統安全保護環境結構與流程

B.1.1各子系統主要功能

第三級系統平安愛惜環境各子系統的主要功能如下:

a）節點子系統

節點子系統通過在操作系統核心層、系統層設置以強制訪問限制為主體的

系統平安機制，形成防護層，通過對用戶行為的限制，可以有效防止非授

權用戶訪問和授權用戶越權訪問，確保信息和信息系統的

保密性和完整性，為典型應用支撐子系統的正常運行和免遭惡意破壞供

應支撐和保障。

b）典型應用支撐子系統

典型應用支撐子系統是系統平安愛惜環境中為應用系統供應平安支撐服

務的接口。通過接口平臺使應用系統的主客體與愛惜環境的主客體相對應,

達到訪問限制策略實現的一樣性。

c）區域邊界子系統

區域邊界子系統通過對進入和流出平安愛惜環境的信息流進行平安檢查，

確保不會有違反系統平安策略的信息流經過邊界。

d）通信網絡子系統

通信網絡子系統通過對通信數據包的保密性和完整性的愛惜，確保其在傳

輸過程中不會被非授權竊聽和篡改，以保障數據在傳輸過程中的平安。

e）系統管理子系統

系統管理子系統負責對平安愛惜環境中的計算節點、平安區域邊界、平安

通信網絡實施集中管理和維護，包括用戶身份管理、資源管理、異樣狀況

處理等。

f）平安管理子系統

平安管理子系統是系統的平安限制中樞，主要實施標記管理、授權管理與

策略管理等。

平安管理子系統通過制定相應的系統平安策略，并要求節點子系統、區域

邊界子系統和通信網絡子系統強制執行，從而實現對整個信息系統的集中

管理。

g）審計子系統

審計子系統是系統的監督中樞。平安審計員通過制定審計策略，并要求節

點子系統、區域邊界子系統、通信網絡子系統、平安管理子系統、系統管

理子系統強制執行，實現對整個信息系統的行為審計，確

保用戶無法抵賴違反系統平安策略的行為，同時為應急處理供應依據。

B.1.2各子系統主要流程

第二級系統平安愛惜環境的結構與流程可以分為平安管理流程與訪問限

制流程。平安管理流程主要由平安管理員、系統管理員和平安審計員通過

平安管理中心執行，分別實施系統維護、平安策略制定和部署、審計記錄

分析和結果響應等。訪問限制流程則在系統運行時執行，實施自主訪問限

制、強制訪問限制等。

a）策略初始化流程

節點子系統在運行之前，首先由平安管理員、系統管理員和平安審計員通

過平安管理中心為其部署相應的平安策略。其中，系統管理員首先須要為

定級系統中的全部用戶實施身份管理，即確定全部用戶的身份、工作密鑰、

證書等。同時須要為定級系統實施資源管理，以確定業務系統正常運行須

要運用的執行程序等。平安管理員須要通過平安管理中心為定級系統中全

部主、客體實施標記管理，即依據業務系統的須要，結合客體資源的重要

程度，確定其平安級，生成全局客體平安標記列表。同時依據用戶在業務

系統中的權限和角色確定其平安標記，生成全局主體平安標記列表。在此

基礎上，平安管理員須要依據系統需求和平安狀況，為主體實施授權管理,

即授予用戶訪問客體資源的權限，生成強制訪問限制列表和級別調整策略

列表。除此之外，平安審計員須要通過平安管理中心中的審計子系統制定

系統審計策略，實施系統的審核管理。假如定級系統須要和其它系統進行

互聯，則上述初始化流程須要結合跨定級系統平安管理中心制定的策略執

行。

b）計算節點啟動流程

策略初始化完成后，授權用戶才可以啟動并運用計算節點訪問定級系統中

的客體資源。為了確保計算節點的系統完整性，節點子系統在啟動時須要

對所裝載的可執行代碼進行可信驗證，確保其在可執行代

碼預期值列表中，并且程序完整性沒有遭到破壞。計算節點啟動后，用

戶便可以平安地登錄系統。在此過程中，系統首先裝載代表用戶身份唯一

標識的硬件令牌，然后獲得其中的用戶信息，進而驗證登錄

用戶是否是該節點上的授權用戶。假如檢查通過，系統將請求策略服務

器下載與該用戶相關的系統平安策略。下載成功后，系統可信計算基將確

定執行主體的數據結構，并初始化用戶工作空間。此后，該

用戶便可以通過啟動應用訪問定級系統中的客體資源。

C）計算節點訪問限制流程

用戶啟動應用形成執行主體后，執行主體將代表用戶發出訪問本地或網絡

資源的請求，該請求將被操作系統訪問限制模塊截獲。訪問限制模塊首先

依據自主訪問限制策略對其執行策略符合性檢查。假如自

主訪問限制策略符合性檢查通過，則該請求允許被執行；否則，訪問限

制模塊依據強制訪問限制策略對該請求執行策略符合性檢查。假如強制訪

問策略符合性檢查通過，那么該請求允許被執行；否則，系

統對其進行級別調整檢查。即依照級別調整檢查策略，推斷發出該請求

的主體是否有權訪問該客體。假如通過，該請求同樣允許被執行；

否則，該請求被拒絕執行。

系統訪問限制機制在平安決策過程中，須要依據平安審計員制定的審計策

略，對用戶的請求與決策結果進行審計，并且將生成的審計記錄發送到審

計服務器存儲，供平安審計員檢查和處理。

d）跨計算節點訪問限制流程

假如主體和其所請求訪問的客體資源不在同一個計算節點，則該請求會被

可信接入模塊截獲，用來推斷該請求是否會破壞系統平安。在進行接入檢

查前，模塊首先通知系統平安代理獲得對方計算節點的身

份，并檢驗其平安性。假如檢驗結果是擔吮全的，則系統拒絕該請求;

否則，系統將依據強制訪問限制策略，推斷該主體是否允許訪問相應端口。

假如檢查通過，該請求被放行；否則，該請求被拒絕。

e）跨邊界訪問限制流程

假如主體和其所請求訪問的客體資源不在同一個平安愛惜環境內，那么該

請求將會被區域邊界限制設備截獲并且進行平安性檢查，檢查過程類似于

跨計算節點訪問限制流程。

B.2子系統間接口

B.2.1綜述

為了清楚描述各子系統之間的關系，圖B.2給出了子系統間的接口關系。

圖B.2第三級系統安全保護環境子系統接口

典型應用支撐子系統與節點子系統之間通過系統調用接口。其它子系統

之間則通過牢靠的網絡傳輸協議，依據規定的接口協議傳輸策略數據、審

計數據以與其他平安愛惜環境數據等。由于不同子系統之間

須要交換各種類型的數據包，因此須要明確定義子系統間的接口協議并

規范傳輸數據包格式，使得各子系統之間能透亮交互，實現相應數據的交

換。數據包的標準格式如表B.1所示。

表B1子系統間數據包格式

013456789101112131415

版A號接口類型標記位

內容長度附E項長度保留

數據內容

???

附加頊類型附配項內容

???

數據包由包頭、附加項和數據內容三部分組成，其中包頭為32字節，

定義了標記、版本號、接口類型、標記位以與內容和附加項長度等。內容

和附加項長度不定。數據包各數據項說明如下：

標記（4字節）：用于標識等級愛惜相關的數據流，此標記可以作為區分

等級愛惜數據包的依據。

版本號（4字節）：表示該接口協議的版本號。其中前兩個字節表示主版

本號。

接口類型（4字節）：表示本數據包的對應接口類型編號。

標記位（4字節）：表述數據包屬性標記，如表B.2所示。

表B2數據包屬性標志

保留＜29比特位）BROSIGCHK

BRO：表示數據包發送對象地址尚未確定，須要以廣播方式發送或發送

給杳詢服務器。

SIG：表示數據包是否有簽名愛惜?，0為無簽名，1為有簽名。假如有簽名

愛惜，簽名信息在附加項中。

CHK：表示數據包是否須要校驗，0為不校驗，1為校驗。假如須要校驗，

校驗碼在附加項中存放。

內容長度（4字節）：表示數據包內容部分長度，以字節為單位。

附加項長度（4字節）：表示全部附加項長度之和，以字節為單位。

保留（8字節）：作為數據包擴展保留。

數據內容：數據包傳輸的具體內容，其格式與數據包類型相關，長度不

定。

附加項類型（4字節）：表示附加項的類型。

附加項內容：數據包傳輸的附加內容，其格式與附加項類型相關，長度不

定。

下面依據接口對應的數據包類型介紹數據內容部分，表格中不含包頭和附

加項。

B.2.2接口1

功能：節點（區域邊界、通信網絡）子系統向平安管理子系統請求下載策

略。

類型：請求數據包。

描述：計算節點、區域邊界、通信網絡設備啟動時，向平安管理子系統請

求下載策略,

該接口為節點子系統、區域邊界子系統、通信網絡子系統到平安管理子系

統之間的接口。

客戶端向服務器發起TCP連接，發出的請求數據包數據內容格式如表B.3

所示。

表B.3名戶潛向隔務器發出的請求數據包戮據內容格式

節點標定（1-16字節）

節點標1770字節）|用戶身份（1T2字節）

__________________________________用戶身份（13-28字節）___________________________________

用戶身份（2970字節）|附加侑息長度

附加—

B.2.3接口2

功能：平安管理子系統向節點（區域邊界、通信網絡）子系統返回與請求

主體相關的策略。

類型：策略下發數據包。

描述：平安管理中心接到下載策略請求后，向計算節點、區域邊界、通信

網絡設備發送平安策略。

平安管理子系統策略下發數據包數據內容格式如表B.4